[Owasp-turkey] Asp.net geliştircileri için Owasp Top 10 önlemleri

Izzet Kerem Kusmezer keremskusmezer at gmail.com
Mon May 21 01:55:08 EDT 2007


HttpOnly cookielerle ilgili birkac guzel link hem php hem asp.net icin:

ASP.Net
http://msdn2.microsoft.com/en-us/library/ms533046.aspx

PHP
http://ilia.ws/archives/121-httpOnly-cookie-flag-support-in-PHP-5.2.html

ASP.Net 1.1
http://www.hanselman.com/blog/HttpOnlyCookiesOnASPNET11.aspx

Ayrica owasp.org'tan indirebileceginiz eski projem DefApp'te ASP.Net 1.1 '
de otomatik httponly cookie destegi ekliyor.
Ayrica icinde viewstate compression'da var.

Saygilar


2007/5/21, Izzet Kerem Kusmezer <keremskusmezer at gmail.com>:
>
> Kesinlikle bundan dolayi direkt olarak System.Drawing.Image nesnesi ile bu
> dosyanin kontrol edilmesi daha guvenli olacaktir. Sonucta kesin olarak imaj
> dosyasi olup olmadigini kesin olarak anlamish oluruz.
> Bu arada tip kontrolu icin magic byte kullanimida yapilabilir.
>
>
> 2007/5/19, Bedirhan Urgun <urgunb at hotmail.com>:
> >
> >
> >
> > Yorum kisimlarinda tartistigimiz gibi bisey belirtmek istedim;
> >
> > mime-type kontrolu sıkıntılı olabilir. Eger HttpPostedFile.ContentTypekullanilacaksa, bunun istemci tarafindan geldigini ve sahtesinin kolaylikla
> > uretilebilecegini bilmek gerekiyor.
> >
> > bedirhan urgun :)
> >
> >  ------------------------------
> > From: syavuz at mutasyon.net
> > To: keremskusmezer at gmail.com; bunyamindemir at gmail.com
> > Date: Sat, 19 May 2007 18:26:43 +0300
> > CC: owasp-turkey at lists.owasp.org
> > Subject: Re: [Owasp-turkey] Asp.net <http://asp.net/> geliştircileri
> > için Owasp Top 10 önlemleri
> >
> >  >> ilk olarak sayet asp.net 2.0 kullaniyorsaniz ve kullanicilariniz ie
> > 6 sp2 ' den yuksek bir surum kullaniyorlarsa,
> >
> > cookieleriniz http only olarak gonderilecektir , ve document.cookiesmethodu ile erisimleri kapatilmish durumdadirlar.
> >
> >
> >
> > Hmm. Bunu denememiştim. Belirttiğiniz iyi oldu.
> >
> >
> >
> > >>2'inci olarak
> >
> > >>uzanti = uzanti.ToLower();
> >
> > >>bu kucuk karaktere cevirme sisteminde o anki thread'in culture
> > bilgilerine gore yapilacagindan bu turkce oldugu durumda calismayacaktir,
> > cunku .GIF = gıf olacagindan asagidaki regular expression tarafindan
> > yakalanamayacaktır. Bundan dolayı >>ToLowerInvariant methodunu kullanmak
> > daha dogru gozukuyor. Ayrıca regular expressionda culture invariant olarak
> > tanimlanmalidir.
> >
> >  >>Ayrica burada file extension haricinden gelen requestin mime-type
> > kontrolu de yapilabilir, hata bir adim ileriye gidilerek, ozellikle bir bu
> > image dosyasi ise , .Net Sysem.Drawing altindaki Image objesi kullanarak
> > gercekten gonderilen byte diziminin bir >>extension'da ve mime type'inde
> > belirten tipe uyup uymadigi kontrol edilebilir.
> >
> >
> >
> > Makaleleri ne zaman okudunuz bilmiyorum ama bizde Bedirhan Uygur ve
> > Bünyamin Demir ile bu konuları tartşıyorduk makalenin yorum kısmında.
> > "Turkish I Problemi" için sunduğunuz çözüm önerisi içinde teşekkürler.
> > Makaleye aktaracağım.
> >
> >
> >
> > Herşeyden önce dökümanları dikkatle okuyup eksik/hata ları bildirdiğiniz
> > için teşekkür çok ederim.
> >
> >
> >
> > İyi Çalışmalar.
> >
> >
> >
> > Selçuk.
> >
> >
> >
> >
> >
> >
> >  ------------------------------
> >
> > *From:* Izzet Kerem Kusmezer [mailto:keremskusmezer at gmail.com]
> > *Sent: *Saturday, May 19, 2007 2:57 PM
> > *To:* Bunyamin DEMIR
> > *Cc:* Selcuk Yavuz; owasp-turkey at lists.owasp.org
> > *Subject:* Re: [Owasp-turkey] Asp.net <http://asp.net/> geliştircileri
> > için Owasp Top 10 önlemleri
> >
> >
> >
> > Merhabalar,
> >
> >
> >
> > Selcuk beyin makalelerinde ufak tefek hatalar gozumr carpti.
> >
> >
> >
> > ilk olarak sayet asp.net 2.0 kullaniyorsaniz ve kullanicilariniz ie 6
> > sp2 ' den yuksek bir surum kullaniyorlarsa,
> >
> > cookieleriniz http only olarak gonderilecektir , ve document.cookiesmethodu ile erisimleri kapatilmish durumdadirlar.
> >
> > 2'inci olarak
> >
> > uzanti = uzanti.ToLower();
> >
> >
> >
> > bu kucuk karaktere cevirme sisteminde o anki thread'in culture
> > bilgilerine gore yapilacagindan bu turkce oldugu durumda calismayacaktir,
> > cunku .GIF = gıf olacagindan asagidaki regular expression tarafindan
> > yakalanamayacaktır. Bundan dolayı ToLowerInvariant methodunu kullanmak daha
> > dogru gozukuyor. Ayrıca regular expressionda culture invariant olarak
> > tanimlanmalidir.
> >
> >
> >
> > Ayrica burada file extension haricinden gelen requestin mime-type
> > kontrolu de yapilabilir, hata bir adim ileriye gidilerek, ozellikle bir bu
> > image dosyasi ise , .Net Sysem.Drawing altindaki Image objesi kullanarak
> > gercekten gonderilen byte diziminin bir extension'da ve mime type'inde
> > belirten tipe uyup uymadigi kontrol edilebilir.
> >
> >
> >
> > Kabul edeceğimiz dosya uzantıları için teker teker if kontrolü yazmamak
> > için Regular Expression ifadelerinden yararlacağız.
> >
> >
> >
> >
> >
> > using System.Text.RegularExpressions;
> >
> > .....
> >
> > if(Regex.IsMatch(uzanti,".jpg|.jpeg|.gif|.png|.bmp") == false)
> >
> >
> > {
> >
> >     // gönderilen dosya formatı uygun değil
> >
> >
> > }
> >
> > else
> >
> > {
> >
> >     // gönderilen dosya formatı uygun.
> >
> > }
> >
> >
> >
> >
> >
> > 2007/5/18, Bunyamin DEMIR <bunyamindemir at gmail.com >:
> >
> > Merhabalar,
> >
> > Selçuk hocam ellerinize sağlık.
> >
> > http://www.webguvenligi.org/?p=27
> >
> >
> > Saygılarımla,
> >
> >
> >
> >  18.05.2007 tarihinde *Selcuk Yavuz* < syavuz at mutasyon.net > yazmış:
> >  Owasp TOP 10 da bulunan 4 madde için ASP.NET <http://asp.net/>geliştiricilerine
> > yönelik alınabilecek önlemleri kaleme aldım.
> >
> > http://selcukyavuz.net/archive/category/1011.aspx
> >
> > Adresinden ulaşabilirsiniz.
> >
> > Selçuk Yavuz.
> > syavuz at mutasyon.net
> >
> >
> >
> > _______________________________________________
> > Owasp-turkey mailing list
> > Owasp-turkey at lists.owasp.org
> > https://lists.owasp.org/mailman/listinfo/owasp-turkey
> >
> >
> >
> >
> > --
> > Bunyamin Demir
> > OWASP-Turkey Chair
> > http://www.webguvenligi.org
> > _______________________________________________
> > Owasp-turkey mailing list
> > Owasp-turkey at lists.owasp.org
> > https://lists.owasp.org/mailman/listinfo/owasp-turkey
> >
> >
> >
> >
> > ------------------------------
> > Change is good. See what's different about Windows Live Hotmail. Check
> > it out!<http://www.windowslive-hotmail.com/learnmore/default.html?locale=en-us&ocid=RMT_TAGLM_HMWL_reten_changegood_0507%0A%0A>
> >
>
>
-------------- next part --------------
An HTML attachment was scrubbed...
URL: http://lists.owasp.org/pipermail/owasp-turkey/attachments/20070521/10bd2de9/attachment.html 


More information about the Owasp-turkey mailing list