[Owasp-turkey] [Fwd: [netsec] WordPress Kritik Guvenlik Acigi]

Bedirhan Urgun urgunb at hotmail.com
Fri May 25 12:16:25 EDT 2007


 
 :) abi biliyorum tekrar etmis gibi olacagim ama verdigin html ve sql ornegi girdi denetimi ile alakali degil pek. cikti denetimi diyelim biz onlara... Yani sorun terim meselesi degil tabi. filtereleme ile escape/encode'u ayirma meselesi. tabi eger veritabanini guvenlik cemberinin icinde tutarsak o baska.
 
 neyse sanirim hepimiz ayni seyden yanayiz, tek denetim degil (ama giriste mutlaka olabildigince kisitlilayici bir sekilde) katmanli denetim gerekli sonra da cikti denetimi (html encode, url encode, canonicalize v.b.). Ama sanirim her fonksiyonda girdi denetim yapilmasi sıkıntıya sokar gelistiriciyi. En azindan ben dellenirim... :)
 bedirhan


Date: Fri, 25 May 2007 16:35:16 +0100From: ferruh at mavituna.comTo: burak.dayioglu at pro-g.com.trCC: owasp-turkey at lists.owasp.orgSubject: Re: [Owasp-turkey] [Fwd: [netsec] WordPress Kritik Guvenlik Acigi]Cok basit bir ornek bir arama ekranindaki parametre hemen hemen her zaman hem HTML e gider hem SQL e. Ikisine de uyan bir pozitif filtreleme belki uretilebilir ama her uygulamada mumkun olmayacaktir. O yuzden kaba bir filtrelemeden otesinin verimli olacagina inanmiyorum. Ek olarak gelen parametre HTML de iki yere cikiyor olabilir. Mesela biri normal HTML sayfasinda yazilacak olabilir digeri ise JS icerisine gidecek olabilir. Dolayisiyla bu parametrenin iki farkli sekilde filtreleme edilmesi gerekiyor. Ama tabii ki dediginiz gibi cogu durumda beklenen parametre integer ise bunun filtresi bariz ve en basta yapildiginda herseyi cozecektir :)
On 25/05/07, Burak DAYIOGLU <burak.dayioglu at pro-g.com.tr> wrote:
On Fri, 2007-05-25 at 16:12 +0100, Ferruh Mavituna wrote:> Merhaba,> Sorun su ki genelde yazilimlarda bir bilgi birden cok yerde> kullanilmak icin uygulamaya geliyor. Dolayisiyla ilk adimda hangi> filtrelerden gecmesi gerektigini bilemiyorsunuz. Buna ragmen tabii ki > cok kaba filtreleme yapilabilir. Bu yuzden kullanim noktasindan> filtreden gecirmenin daha iyi oldugunu dusunuyorum.Ferruh Hocam,Siz konuya girdiden kaynaklanabilecek "tehditlerden" dogru bakiyorsunuz. Bosverin guvenligi, tehdidi, riski...  Ben disaridan girdi aliyorum,neyin makul oldugunu istisnasiz *her durumda* bastan tanimlayabilecegimidusunuyorum, bilgi iki yerde de kullanilsa bes yerde de kullanilsa durum ayni bence...slm.--Burak DAYIOGLU, Genel KoordinatorPro-G Bilisim Guvenligi ve Arastirma Ltd.T:+90 312 4733512   W:http://www.pro-g.com.tr*****    Guvenliginiz Geleceginizdir    ***** Blog: http://www.burakdayioglu.net-- Ferruh Mavitunahttp://ferruh.mavituna.com 
_________________________________________________________________
Change is good. See what’s different about Windows Live Hotmail. 
http://www.windowslive-hotmail.com/learnmore/default.html?locale=en-us&ocid=RMT_TAGLM_HMWL_reten_changegood_0507
-------------- next part --------------
An HTML attachment was scrubbed...
URL: http://lists.owasp.org/pipermail/owasp-turkey/attachments/20070525/78003ef6/attachment.html 


More information about the Owasp-turkey mailing list