[Owasp-turkey] [Fwd: [netsec] WordPress Kritik Guvenlik Acigi]

Burak DAYIOGLU burak.dayioglu at pro-g.com.tr
Fri May 25 12:19:21 EDT 2007


Ferruh Hocam,
Kizacaksin belki ama yine ayni seyi yapiyorsun: Ornegine bak: "bir
parametre hem HTML'e hem SQL'e gider" diyerek yine veriyi biraktin
verinin nerelerde ne ise yaratilacagina, ne tur tehditlere maruz
kalabilecegine bakmaya calisiyorsun. :)

Ben verinin ne oldugu ile ilgileniyorum; isimse isim gibi olmali, 1-50
araliginda tamsayi ise buna gore olmali. Boyle olmasini garanti edersem
"bu veri simdi nereye gidecek ve nasil kullanilacak" diye dusunmeme de
gerek kalmaz...

sevgiler,
-bd

On Fri, 2007-05-25 at 16:35 +0100, Ferruh Mavituna wrote:
> Cok basit bir ornek bir arama ekranindaki parametre hemen hemen her
> zaman hem HTML e gider hem SQL e. Ikisine de uyan bir pozitif
> filtreleme belki uretilebilir ama her uygulamada mumkun olmayacaktir.
> O yuzden kaba bir filtrelemeden otesinin verimli olacagina
> inanmiyorum. 
> 
> Ek olarak gelen parametre HTML de iki yere cikiyor olabilir. Mesela
> biri normal HTML sayfasinda yazilacak olabilir digeri ise JS icerisine
> gidecek olabilir. Dolayisiyla bu parametrenin iki farkli sekilde
> filtreleme edilmesi gerekiyor. 
> 
> Ama tabii ki dediginiz gibi cogu durumda beklenen parametre integer
> ise bunun filtresi bariz ve en basta yapildiginda herseyi
> cozecektir :)
> 
> On 25/05/07, Burak DAYIOGLU <burak.dayioglu at pro-g.com.tr> wrote:
>         On Fri, 2007-05-25 at 16:12 +0100, Ferruh Mavituna wrote:
>         > Merhaba,
>         > Sorun su ki genelde yazilimlarda bir bilgi birden cok yerde
>         > kullanilmak icin uygulamaya geliyor. Dolayisiyla ilk adimda
>         hangi
>         > filtrelerden gecmesi gerektigini bilemiyorsunuz. Buna ragmen
>         tabii ki 
>         > cok kaba filtreleme yapilabilir. Bu yuzden kullanim
>         noktasindan
>         > filtreden gecirmenin daha iyi oldugunu dusunuyorum.
>         
>         Ferruh Hocam,
>         Siz konuya girdiden kaynaklanabilecek "tehditlerden" dogru
>         bakiyorsunuz. 
>         Bosverin guvenligi, tehdidi, riski...  Ben disaridan girdi
>         aliyorum,
>         neyin makul oldugunu istisnasiz *her durumda* bastan
>         tanimlayabilecegimi
>         dusunuyorum, bilgi iki yerde de kullanilsa bes yerde de
>         kullanilsa durum 
>         ayni bence...
>         
>         slm.
>         --
>         Burak DAYIOGLU, Genel Koordinator
>         Pro-G Bilisim Guvenligi ve Arastirma Ltd.
>         T:+90 312 4733512   W:http://www.pro-g.com.tr
>         *****    Guvenliginiz Geleceginizdir    ***** 
>         
>         Blog: http://www.burakdayioglu.net
>         
> 
> 
> 
> -- 
> Ferruh Mavituna
> http://ferruh.mavituna.com
-- 
Burak DAYIOGLU, Genel Koordinator
Pro-G Bilisim Guvenligi ve Arastirma Ltd.
T:+90 312 4733512   W:http://www.pro-g.com.tr
*****    Guvenliginiz Geleceginizdir    *****

Blog: http://www.burakdayioglu.net



More information about the Owasp-turkey mailing list