[Owasp-turkey] Anti Local File Inclusion

Oğuzhan YILMAZ aspsrc at gmail.com
Fri Dec 13 08:13:00 UTC 2013


Selamlar Bedirhan,

Kod tarafında Inputları normalize etmek ve işletim sistemi seviyesinde ACL
gibi önlemler aldık.

Bir File Manager yazıyoruz web siteleri için. Direkt sunucu üzerinede
erişim olduğundan kritik bir konu. Uzak sunuculara erişirkende web
servisini kullanıyoruz. DTD'ye hiç dikkat etmemiştim inceleyeceğim ayrıca
teşekkürler.



Oğuzhan


13 Aralık 2013 09:06 tarihinde Bedirhan Urgun <bedirhanurgun at gmail.com>yazdı:

> Merhaba Oğuzhan,
> Hiç çatıların sağladığı sandbox gibi özelliklere girmeden alınabilecek en
> pratik önlemlerden biri, include edilebilecek/işlenecek dosyaların önceden
> belirlenmesi ve kontrol edilmesidir. Include edilecek/işlenecek dosyalar
> önceden bilinmiyorsa, gelen input'u normalize ederek belirli bir dizin
> altında tutup, dosya ismine pozitif ve sıkı bir regex de uygulanabilir.
>
> Ancak işin kod dışında da boyutu olabilir. Örneğin webservisleri varsa
> mümkünse XEE önlemi olarak DTD'nin kullanılmaması v.b.
>
> Sadece bu konuda değil, her input validation konusunda gelen isteklerde
> kritik karakterlerin bloklanması yoluna gitmeyelim. Kesinlikle blacklisting
> yapmayalım, derim.
>
> kolay gelsin
>
>
> 12 Aralık 2013 16:29 tarihinde Oğuzhan YILMAZ <aspsrc at gmail.com> yazdı:
>
>> Selamlar,
>>
>> Local File Inclusion zaafiyetine yol açmamak için programcıya
>> önerileriniz nelerdir?
>> Programcı neye dikkat etmeli?
>> Sadece gelen isteklerdeki kritik karakterleri bloklamak yeterli mi?
>> Mimari açıdan bir pattern'i var mı?
>>
>> Teşekkürler
>>
>> Oğuzhan
>>
>> _______________________________________________
>> Owasp-turkey mailing list
>> Owasp-turkey at lists.owasp.org
>> https://lists.owasp.org/mailman/listinfo/owasp-turkey
>>
>>
>
>
> --
>
> bedirhan urgun
>
> _______________________________________________
> Owasp-turkey mailing list
> Owasp-turkey at lists.owasp.org
> https://lists.owasp.org/mailman/listinfo/owasp-turkey
>
>
-------------- sonraki b?l?m --------------
Bir HTML eklentisi temizlendi...
URL: <http://lists.owasp.org/pipermail/owasp-turkey/attachments/20131213/bd8246be/attachment.html>


More information about the Owasp-turkey mailing list