[Owasp-turkey] [Fwd: [netsec] WordPress Kritik Guvenlik Acigi]

Ferruh Mavituna ferruh at mavituna.com
Fri May 25 11:35:16 EDT 2007


Cok basit bir ornek bir arama ekranindaki parametre hemen hemen her zaman
hem HTML e gider hem SQL e. Ikisine de uyan bir pozitif filtreleme belki
uretilebilir ama her uygulamada mumkun olmayacaktir. O yuzden kaba bir
filtrelemeden otesinin verimli olacagina inanmiyorum.

Ek olarak gelen parametre HTML de iki yere cikiyor olabilir. Mesela biri
normal HTML sayfasinda yazilacak olabilir digeri ise JS icerisine gidecek
olabilir. Dolayisiyla bu parametrenin iki farkli sekilde filtreleme edilmesi
gerekiyor.

Ama tabii ki dediginiz gibi cogu durumda beklenen parametre integer ise
bunun filtresi bariz ve en basta yapildiginda herseyi cozecektir :)

On 25/05/07, Burak DAYIOGLU <burak.dayioglu at pro-g.com.tr> wrote:
>
> On Fri, 2007-05-25 at 16:12 +0100, Ferruh Mavituna wrote:
> > Merhaba,
> > Sorun su ki genelde yazilimlarda bir bilgi birden cok yerde
> > kullanilmak icin uygulamaya geliyor. Dolayisiyla ilk adimda hangi
> > filtrelerden gecmesi gerektigini bilemiyorsunuz. Buna ragmen tabii ki
> > cok kaba filtreleme yapilabilir. Bu yuzden kullanim noktasindan
> > filtreden gecirmenin daha iyi oldugunu dusunuyorum.
>
> Ferruh Hocam,
> Siz konuya girdiden kaynaklanabilecek "tehditlerden" dogru bakiyorsunuz.
> Bosverin guvenligi, tehdidi, riski...  Ben disaridan girdi aliyorum,
> neyin makul oldugunu istisnasiz *her durumda* bastan tanimlayabilecegimi
> dusunuyorum, bilgi iki yerde de kullanilsa bes yerde de kullanilsa durum
> ayni bence...
>
> slm.
> --
> Burak DAYIOGLU, Genel Koordinator
> Pro-G Bilisim Guvenligi ve Arastirma Ltd.
> T:+90 312 4733512   W:http://www.pro-g.com.tr
> *****    Guvenliginiz Geleceginizdir    *****
>
> Blog: http://www.burakdayioglu.net
>
>


-- 
Ferruh Mavituna
http://ferruh.mavituna.com
-------------- next part --------------
An HTML attachment was scrubbed...
URL: http://lists.owasp.org/pipermail/owasp-turkey/attachments/20070525/024b5b09/attachment.html 


More information about the Owasp-turkey mailing list