[Owasp-turkey] [Fwd: [netsec] WordPress Kritik Guvenlik Acigi]

Izzet Kerem Kusmezer keremskusmezer at gmail.com
Wed May 30 08:57:08 EDT 2007


Diye girdi denetim kontrolleri her katmanda ayri ayri olarak
gerceklestirildi, bu durumda girdiyle ilgili olarak mesela bir aralik
kontrolu yapan validasyon kodunu her modulde ayri ayri olarak
gerceklestirmek gerekmeyecek mi?

2007/5/25, volkan uzun <vuzun at csusb.edu>:
>
>  Konunun basini belki biraz kacirdigim icin alakasiz olabilir J
>
> Ben girdinin her asamada kontrolunden yanayim, cunku girdinin ilk alindigi
> ( diyelim ki kullanici webden giris yapti ), ortamdan son asamaya dek her
> zaman ayni programci yazmiyor.
>
> Mesela; ben business katmanindaki kodu yaziyorsam; maalesef ui tarafini
> yazip; benim siniflarima istekte bulunacak programciya guvenemem herseyi
> kontrol etmis mi diye; hatta ve hatta test gruplarinin test islemlerinde
> aciklari bulmasina da guvenemem, benim yapmam gereken yazdigim her module
> gelecek girdinin sanki sistemi bozmaya calisacak bir kullaniciya ait
> oldugunu dusunmek; ve ona gore onlem almak olmali.
>
> Butun modulleri ayni programci yazsa bile gene her asamada kontrolden
> yanayim J cunku bu seferde ileride kodun bakimini, optimizasyonunu yapacak
> kisinin napacagina guvenemem, bir modulu bozup farkinda olmayarak diger
> module denetimsiz parametre yollayabilir.
>
>
>
>
>  ------------------------------
>
> *From:* owasp-turkey-bounces at lists.owasp.org [mailto:
> owasp-turkey-bounces at lists.owasp.org] *On Behalf Of *Bunyamin DEMIR
> *Sent:* Friday, May 25, 2007 9:26 AM
> *To:* burak.dayioglu at pro-g.com.tr; Ferruh Mavituna; Bedirhan Urgun
> *Cc:* owasp-turkey at lists.owasp.org
> *Subject:* Re: [Owasp-turkey] [Fwd: [netsec] WordPress Kritik Guvenlik
> Acigi]
>
>
>
> Şimdi herkes "girdi denetimi" konusunda mutabık. Hatta ilk "iyi
> programlama" konulu kitaplar bile bundan bahsetti diyoruz. Zaten burasına
> kimsenin takıldığı yok. Mevzu denetimin hangi aşamada başlaması? Hangi
> aşamada yoğulaşması? Hangi aşamada bitmesi?
>
> Dayatma olmasın tabide.. İzlediğim yolu belirteyim.
>
> Genelde temel kontrolleri en başta yaparım. Yani bir kullanıcını kredi
> kartı numarası girmiş ise onu aldığım yerde denetlerim. Fakat bir fonksiyon
> çağırılacaksa. Onu çağıran parametreyi fonksiyonun çağrıldığı
> yerde-dosyasında denetlerim.
>
> Örneğin,
>
> Sisteme login olduk. Kullanıcı adı şifre denetlenmesinden geçtik. İçeride
> bir linke bastığımızda (listele).  Giden parametre çağrıldığı yerde zaten
> biliniyor. Biraz daha açayım. Bu sayfaya gelen talepler ancak ve ancak
> "listele,goster" olabilir onun dışında gelen her türlü parametreyi salla
> gitsin. Bu birazda güvenlik kontrolünü parçalara yaymaya yarıyor. Gerçi ilk
> etapta girdinin kontrolüne daha yakın bir plan.
>
> Umarım anlatabilmişimdir:)
>
>
>
>  25.05.2007 tarihinde *Burak DAYIOGLU* <burak.dayioglu at pro-g.com.tr >
> yazmış:
>
> On Fri, 2007-05-25 at 12:16 -0400, Bedirhan Urgun wrote:
> >  neyse sanirim hepimiz ayni seyden yanayiz, tek denetim degil (ama
> > giriste mutlaka olabildigince kisitlilayici bir sekilde) katmanli
> > denetim gerekli sonra da cikti denetimi (html encode, url encode,
> > canonicalize v.b.). Ama sanirim her fonksiyonda girdi denetim
> > yapilmasi sıkıntıya sokar gelistiriciyi. En azindan ben
> > dellenirim... :)
> >  bedirhan
>
> "Dellenecek" bir sey yok. Butun "iyi programlama" kitaplari saglam
> programlama (robust programming) icin beklenmedik
> parametrelere/girdilere hazirliktan soz eder, konu guvenlik olmadan
> coook once bile yazilmis "nasil iyi yazarsiniz" kitaplarinin hemen
> hepsinde bu var... :)
>
> sevgiler.
> -burak "muhalif" dayioglu
>
> _______________________________________________
> Owasp-turkey mailing list
> Owasp-turkey at lists.owasp.org
> https://lists.owasp.org/mailman/listinfo/owasp-turkey
>
>
>
>
> --
> Bunyamin Demir
> OWASP-Turkey Chair
> http://www.webguvenligi.org
>
> _______________________________________________
> Owasp-turkey mailing list
> Owasp-turkey at lists.owasp.org
> https://lists.owasp.org/mailman/listinfo/owasp-turkey
>
>
-------------- next part --------------
An HTML attachment was scrubbed...
URL: https://lists.owasp.org/pipermail/owasp-turkey/attachments/20070530/f7d3b057/attachment.html 


More information about the Owasp-turkey mailing list