[Owasp-turkey] Anti Local File Inclusion

Bedirhan Urgun bedirhanurgun at gmail.com
Fri Dec 13 07:06:12 UTC 2013


Merhaba Oğuzhan,
Hiç çatıların sağladığı sandbox gibi özelliklere girmeden alınabilecek en
pratik önlemlerden biri, include edilebilecek/işlenecek dosyaların önceden
belirlenmesi ve kontrol edilmesidir. Include edilecek/işlenecek dosyalar
önceden bilinmiyorsa, gelen input'u normalize ederek belirli bir dizin
altında tutup, dosya ismine pozitif ve sıkı bir regex de uygulanabilir.

Ancak işin kod dışında da boyutu olabilir. Örneğin webservisleri varsa
mümkünse XEE önlemi olarak DTD'nin kullanılmaması v.b.

Sadece bu konuda değil, her input validation konusunda gelen isteklerde
kritik karakterlerin bloklanması yoluna gitmeyelim. Kesinlikle blacklisting
yapmayalım, derim.

kolay gelsin


12 Aralık 2013 16:29 tarihinde Oğuzhan YILMAZ <aspsrc at gmail.com> yazdı:

> Selamlar,
>
> Local File Inclusion zaafiyetine yol açmamak için programcıya önerileriniz
> nelerdir?
> Programcı neye dikkat etmeli?
> Sadece gelen isteklerdeki kritik karakterleri bloklamak yeterli mi?
> Mimari açıdan bir pattern'i var mı?
>
> Teşekkürler
>
> Oğuzhan
>
> _______________________________________________
> Owasp-turkey mailing list
> Owasp-turkey at lists.owasp.org
> https://lists.owasp.org/mailman/listinfo/owasp-turkey
>
>


-- 

bedirhan urgun
-------------- sonraki b�l�m --------------
Bir HTML eklentisi temizlendi...
URL: <http://lists.owasp.org/pipermail/owasp-turkey/attachments/20131213/b1e7821a/attachment.html>


More information about the Owasp-turkey mailing list