[Owasp-turkey] Asp.net geliştircileri için Owasp Top 10 önlemleri

Izzet Kerem Kusmezer keremskusmezer at gmail.com
Mon May 21 01:44:41 EDT 2007


Kesinlikle bundan dolayi direkt olarak System.Drawing.Image nesnesi ile bu
dosyanin kontrol edilmesi daha guvenli olacaktir. Sonucta kesin olarak imaj
dosyasi olup olmadigini kesin olarak anlamish oluruz.
Bu arada tip kontrolu icin magic byte kullanimida yapilabilir.


2007/5/19, Bedirhan Urgun <urgunb at hotmail.com>:
>
>
>
> Yorum kisimlarinda tartistigimiz gibi bisey belirtmek istedim;
>
> mime-type kontrolu sıkıntılı olabilir. Eger HttpPostedFile.ContentTypekullanilacaksa, bunun istemci tarafindan geldigini ve sahtesinin kolaylikla
> uretilebilecegini bilmek gerekiyor.
>
> bedirhan urgun :)
>
>  ------------------------------
> From: syavuz at mutasyon.net
> To: keremskusmezer at gmail.com; bunyamindemir at gmail.com
> Date: Sat, 19 May 2007 18:26:43 +0300
> CC: owasp-turkey at lists.owasp.org
> Subject: Re: [Owasp-turkey] Asp.net <http://asp.net/> geliştircileri için
> Owasp Top 10 önlemleri
>
>  >> ilk olarak sayet asp.net 2.0 kullaniyorsaniz ve kullanicilariniz ie 6
> sp2 ' den yuksek bir surum kullaniyorlarsa,
>
> cookieleriniz http only olarak gonderilecektir , ve document.cookiesmethodu ile erisimleri kapatilmish durumdadirlar.
>
>
>
> Hmm. Bunu denememiştim. Belirttiğiniz iyi oldu.
>
>
>
> >>2'inci olarak
>
> >>uzanti = uzanti.ToLower();
>
> >>bu kucuk karaktere cevirme sisteminde o anki thread'in culture
> bilgilerine gore yapilacagindan bu turkce oldugu durumda calismayacaktir,
> cunku .GIF = gıf olacagindan asagidaki regular expression tarafindan
> yakalanamayacaktır. Bundan dolayı >>ToLowerInvariant methodunu kullanmak
> daha dogru gozukuyor. Ayrıca regular expressionda culture invariant olarak
> tanimlanmalidir.
>
>  >>Ayrica burada file extension haricinden gelen requestin mime-type
> kontrolu de yapilabilir, hata bir adim ileriye gidilerek, ozellikle bir bu
> image dosyasi ise , .Net Sysem.Drawing altindaki Image objesi kullanarak
> gercekten gonderilen byte diziminin bir >>extension'da ve mime type'inde
> belirten tipe uyup uymadigi kontrol edilebilir.
>
>
>
> Makaleleri ne zaman okudunuz bilmiyorum ama bizde Bedirhan Uygur ve
> Bünyamin Demir ile bu konuları tartşıyorduk makalenin yorum kısmında.
> "Turkish I Problemi" için sunduğunuz çözüm önerisi içinde teşekkürler.
> Makaleye aktaracağım.
>
>
>
> Herşeyden önce dökümanları dikkatle okuyup eksik/hata ları bildirdiğiniz
> için teşekkür çok ederim.
>
>
>
> İyi Çalışmalar.
>
>
>
> Selçuk.
>
>
>
>
>
>
>  ------------------------------
>
> *From:* Izzet Kerem Kusmezer [mailto:keremskusmezer at gmail.com]
> *Sent:* Saturday, May 19, 2007 2:57 PM
> *To:* Bunyamin DEMIR
> *Cc:* Selcuk Yavuz; owasp-turkey at lists.owasp.org
> *Subject:* Re: [Owasp-turkey] Asp.net <http://asp.net/> geliştircileri
> için Owasp Top 10 önlemleri
>
>
>
> Merhabalar,
>
>
>
> Selcuk beyin makalelerinde ufak tefek hatalar gozumr carpti.
>
>
>
> ilk olarak sayet asp.net 2.0 kullaniyorsaniz ve kullanicilariniz ie 6 sp2
> ' den yuksek bir surum kullaniyorlarsa,
>
> cookieleriniz http only olarak gonderilecektir , ve document.cookiesmethodu ile erisimleri kapatilmish durumdadirlar.
>
> 2'inci olarak
>
> uzanti = uzanti.ToLower();
>
>
>
> bu kucuk karaktere cevirme sisteminde o anki thread'in culture bilgilerine
> gore yapilacagindan bu turkce oldugu durumda calismayacaktir, cunku .GIF =
> gıf olacagindan asagidaki regular expression tarafindan yakalanamayacaktır.
> Bundan dolayı ToLowerInvariant methodunu kullanmak daha dogru gozukuyor.
> Ayrıca regular expressionda culture invariant olarak tanimlanmalidir.
>
>
>
> Ayrica burada file extension haricinden gelen requestin mime-type kontrolu
> de yapilabilir, hata bir adim ileriye gidilerek, ozellikle bir bu image
> dosyasi ise , .Net Sysem.Drawing altindaki Image objesi kullanarak
> gercekten gonderilen byte diziminin bir extension'da ve mime type'inde
> belirten tipe uyup uymadigi kontrol edilebilir.
>
>
>
> Kabul edeceğimiz dosya uzantıları için teker teker if kontrolü yazmamak
> için Regular Expression ifadelerinden yararlacağız.
>
>
>
>
>
> using System.Text.RegularExpressions;
>
> .....
>
> if(Regex.IsMatch(uzanti,".jpg|.jpeg|.gif|.png|.bmp") == false)
>
> {
>
>     // gönderilen dosya formatı uygun değil
>
> }
>
> else
>
> {
>
>     // gönderilen dosya formatı uygun.
>
> }
>
>
>
>
>
> 2007/5/18, Bunyamin DEMIR <bunyamindemir at gmail.com>:
>
> Merhabalar,
>
> Selçuk hocam ellerinize sağlık.
>
> http://www.webguvenligi.org/?p=27
>
>
> Saygılarımla,
>
>
>
>  18.05.2007 tarihinde *Selcuk Yavuz* <syavuz at mutasyon.net > yazmış:
>  Owasp TOP 10 da bulunan 4 madde için ASP.NET <http://asp.net/>geliştiricilerine
> yönelik alınabilecek önlemleri kaleme aldım.
>
> http://selcukyavuz.net/archive/category/1011.aspx
>
> Adresinden ulaşabilirsiniz.
>
> Selçuk Yavuz.
> syavuz at mutasyon.net
>
>
>
> _______________________________________________
> Owasp-turkey mailing list
> Owasp-turkey at lists.owasp.org
> https://lists.owasp.org/mailman/listinfo/owasp-turkey
>
>
>
>
> --
> Bunyamin Demir
> OWASP-Turkey Chair
> http://www.webguvenligi.org
> _______________________________________________
> Owasp-turkey mailing list
> Owasp-turkey at lists.owasp.org
> https://lists.owasp.org/mailman/listinfo/owasp-turkey
>
>
>
>
> ------------------------------
> Change is good. See what's different about Windows Live Hotmail. Check it
> out!<http://www.windowslive-hotmail.com/learnmore/default.html?locale=en-us&ocid=RMT_TAGLM_HMWL_reten_changegood_0507%0A%0A>
>
-------------- next part --------------
An HTML attachment was scrubbed...
URL: http://lists.owasp.org/pipermail/owasp-turkey/attachments/20070521/0d9d3211/attachment.html 


More information about the Owasp-turkey mailing list