[Owasp-turkey] Asp.net geliştircileri için Owasp Top 10 önlemleri

Izzet Kerem Kusmezer keremskusmezer at gmail.com
Mon May 21 01:55:43 EDT 2007


Bu arada ufak bir hatam olmush IE 6.0 SP1'den ihtibaren olacak.

2007/5/21, Izzet Kerem Kusmezer <keremskusmezer at gmail.com>:
>
> HttpOnly cookielerle ilgili birkac guzel link hem php hem asp.net icin:
>
> ASP.Net
> http://msdn2.microsoft.com/en-us/library/ms533046.aspx
>
> PHP
> http://ilia.ws/archives/121-httpOnly-cookie-flag-support-in-PHP-5.2.html
>
> ASP.Net 1.1
> http://www.hanselman.com/blog/HttpOnlyCookiesOnASPNET11.aspx
>
> Ayrica owasp.org'tan indirebileceginiz eski projem DefApp'te ASP.Net 1.1 '
> de otomatik httponly cookie destegi ekliyor.
> Ayrica icinde viewstate compression'da var.
>
> Saygilar
>
>
> 2007/5/21, Izzet Kerem Kusmezer <keremskusmezer at gmail.com>:
> >
> > Kesinlikle bundan dolayi direkt olarak System.Drawing.Image nesnesi ile
> > bu dosyanin kontrol edilmesi daha guvenli olacaktir. Sonucta kesin olarak
> > imaj dosyasi olup olmadigini kesin olarak anlamish oluruz.
> > Bu arada tip kontrolu icin magic byte kullanimida yapilabilir.
> >
> >
> > 2007/5/19, Bedirhan Urgun <urgunb at hotmail.com>:
> > >
> > >
> > >
> > > Yorum kisimlarinda tartistigimiz gibi bisey belirtmek istedim;
> > >
> > > mime-type kontrolu sıkıntılı olabilir. Eger HttpPostedFile.ContentTypekullanilacaksa, bunun istemci tarafindan geldigini ve sahtesinin kolaylikla
> > > uretilebilecegini bilmek gerekiyor.
> > >
> > > bedirhan urgun :)
> > >
> > >  ------------------------------
> > > From: syavuz at mutasyon.net
> > > To: keremskusmezer at gmail.com; bunyamindemir at gmail.com
> > > Date: Sat, 19 May 2007 18:26:43 +0300
> > > CC: owasp-turkey at lists.owasp.org
> > > Subject: Re: [Owasp-turkey] Asp.net <http://asp.net/> geliştircileri
> > > için Owasp Top 10 önlemleri
> > >
> > >  >> ilk olarak sayet asp.net 2.0 kullaniyorsaniz ve kullanicilariniz
> > > ie 6 sp2 ' den yuksek bir surum kullaniyorlarsa,
> > >
> > > cookieleriniz http only olarak gonderilecektir , ve document.cookiesmethodu ile erisimleri kapatilmish durumdadirlar.
> > >
> > >
> > >
> > > Hmm. Bunu denememiştim. Belirttiğiniz iyi oldu.
> > >
> > >
> > >
> > > >>2'inci olarak
> > >
> > > >>uzanti = uzanti.ToLower();
> > >
> > > >>bu kucuk karaktere cevirme sisteminde o anki thread'in culture
> > > bilgilerine gore yapilacagindan bu turkce oldugu durumda calismayacaktir,
> > > cunku .GIF = gıf olacagindan asagidaki regular expression tarafindan
> > > yakalanamayacaktır. Bundan dolayı >>ToLowerInvariant methodunu
> > > kullanmak daha dogru gozukuyor. Ayrıca regular expressionda culture
> > > invariant olarak tanimlanmalidir.
> > >
> > >  >>Ayrica burada file extension haricinden gelen requestin mime-type
> > > kontrolu de yapilabilir, hata bir adim ileriye gidilerek, ozellikle bir bu
> > > image dosyasi ise , .Net Sysem.Drawing altindaki Image objesi
> > > kullanarak gercekten gonderilen byte diziminin bir >>extension'da ve
> > > mime type'inde belirten tipe uyup uymadigi kontrol edilebilir.
> > >
> > >
> > >
> > > Makaleleri ne zaman okudunuz bilmiyorum ama bizde Bedirhan Uygur ve
> > > Bünyamin Demir ile bu konuları tartşıyorduk makalenin yorum kısmında.
> > > "Turkish I Problemi" için sunduğunuz çözüm önerisi içinde teşekkürler.
> > > Makaleye aktaracağım.
> > >
> > >
> > >
> > > Herşeyden önce dökümanları dikkatle okuyup eksik/hata ları
> > > bildirdiğiniz için teşekkür çok ederim.
> > >
> > >
> > >
> > > İyi Çalışmalar.
> > >
> > >
> > >
> > > Selçuk.
> > >
> > >
> > >
> > >
> > >
> > >
> > >  ------------------------------
> > >
> > > *From:* Izzet Kerem Kusmezer [mailto:keremskusmezer at gmail.com]
> > > *Sent: *Saturday, May 19, 2007 2:57 PM
> > > *To:* Bunyamin DEMIR
> > > *Cc:* Selcuk Yavuz; owasp-turkey at lists.owasp.org
> > > *Subject:* Re: [Owasp-turkey] Asp.net <http://asp.net/> geliştircileri
> > > için Owasp Top 10 önlemleri
> > >
> > >
> > >
> > > Merhabalar,
> > >
> > >
> > >
> > > Selcuk beyin makalelerinde ufak tefek hatalar gozumr carpti.
> > >
> > >
> > >
> > > ilk olarak sayet asp.net 2.0 kullaniyorsaniz ve kullanicilariniz ie 6
> > > sp2 ' den yuksek bir surum kullaniyorlarsa,
> > >
> > > cookieleriniz http only olarak gonderilecektir , ve document.cookiesmethodu ile erisimleri kapatilmish durumdadirlar.
> > >
> > > 2'inci olarak
> > >
> > > uzanti = uzanti.ToLower();
> > >
> > >
> > >
> > > bu kucuk karaktere cevirme sisteminde o anki thread'in culture
> > > bilgilerine gore yapilacagindan bu turkce oldugu durumda calismayacaktir,
> > > cunku .GIF = gıf olacagindan asagidaki regular expression tarafindan
> > > yakalanamayacaktır. Bundan dolayı ToLowerInvariant methodunu kullanmak daha
> > > dogru gozukuyor. Ayrıca regular expressionda culture invariant olarak
> > > tanimlanmalidir.
> > >
> > >
> > >
> > > Ayrica burada file extension haricinden gelen requestin mime-type
> > > kontrolu de yapilabilir, hata bir adim ileriye gidilerek, ozellikle bir bu
> > > image dosyasi ise , .Net Sysem.Drawing altindaki Image objesi
> > > kullanarak gercekten gonderilen byte diziminin bir extension'da ve mime
> > > type'inde belirten tipe uyup uymadigi kontrol edilebilir.
> > >
> > >
> > >
> > > Kabul edeceğimiz dosya uzantıları için teker teker if kontrolü
> > > yazmamak için Regular Expression ifadelerinden yararlacağız.
> > >
> > >
> > >
> > >
> > >
> > >
> > > using System.Text.RegularExpressions;
> > >
> > > .....
> > >
> > >
> > > if(Regex.IsMatch(uzanti,".jpg|.jpeg|.gif|.png|.bmp") == false)
> > >
> > >
> > >
> > > {
> > >
> > >     // gönderilen dosya formatı uygun değil
> > >
> > >
> > >
> > > }
> > >
> > > else
> > >
> > > {
> > >
> > >     // gönderilen dosya formatı uygun.
> > >
> > > }
> > >
> > >
> > >
> > >
> > >
> > > 2007/5/18, Bunyamin DEMIR <bunyamindemir at gmail.com >:
> > >
> > > Merhabalar,
> > >
> > > Selçuk hocam ellerinize sağlık.
> > >
> > > http://www.webguvenligi.org/?p=27
> > >
> > >
> > > Saygılarımla,
> > >
> > >
> > >
> > >  18.05.2007 tarihinde *Selcuk Yavuz* < syavuz at mutasyon.net > yazmış:
> > >  Owasp TOP 10 da bulunan 4 madde için ASP.NET <http://asp.net/>geliştiricilerine
> > > yönelik alınabilecek önlemleri kaleme aldım.
> > >
> > > http://selcukyavuz.net/archive/category/1011.aspx
> > >
> > > Adresinden ulaşabilirsiniz.
> > >
> > > Selçuk Yavuz.
> > > syavuz at mutasyon.net
> > >
> > >
> > >
> > > _______________________________________________
> > > Owasp-turkey mailing list
> > > Owasp-turkey at lists.owasp.org
> > > https://lists.owasp.org/mailman/listinfo/owasp-turkey
> > >
> > >
> > >
> > >
> > > --
> > > Bunyamin Demir
> > > OWASP-Turkey Chair
> > > http://www.webguvenligi.org
> > > _______________________________________________
> > > Owasp-turkey mailing list
> > > Owasp-turkey at lists.owasp.org
> > > https://lists.owasp.org/mailman/listinfo/owasp-turkey
> > >
> > >
> > >
> > >
> > > ------------------------------
> > > Change is good. See what's different about Windows Live Hotmail. Check
> > > it out!<http://www.windowslive-hotmail.com/learnmore/default.html?locale=en-us&ocid=RMT_TAGLM_HMWL_reten_changegood_0507%0A%0A>
> > >
> >
> >
>
-------------- next part --------------
An HTML attachment was scrubbed...
URL: http://lists.owasp.org/pipermail/owasp-turkey/attachments/20070521/b6336767/attachment.html 


More information about the Owasp-turkey mailing list