[Owasp-turkey] [Fwd: [netsec] WordPress Kritik Guvenlik Acigi]

Bedirhan Urgun urgunb at hotmail.com
Fri May 25 12:25:03 EDT 2007


 
>(ii) kod icerisindeki tum metod ya da fonksiyonlarin kendi girdilerini>de "dis kaynaklardan geliyormuscasina" pozitif kontrol listeleri ile>sinamalari
 
Dis kaynaklardan geliyormuscasina, her fonksiyonda denetim yapmak trust boundary (sizinde bildiginiz McGraw bundan bahsediyor) kavramina pek uymuyor gibi. Yani guvendigim bir cember (daire) olusturamayacaksam preformans duser ve kod yazmak cok zorlasir gibi geliyor. Bunun icin dellenmek kelimesini kullandim, yoksa normal bir gelistiriciden kat kat fazla paranoyagimdir.
 
bedirhan



> Subject: RE: [Owasp-turkey] [Fwd: [netsec] WordPress Kritik Guvenlik Acigi]> From: burak.dayioglu at pro-g.com.tr> To: urgunb at hotmail.com> CC: ferruh at mavituna.com; owasp-turkey at lists.owasp.org> Date: Fri, 25 May 2007 19:21:12 +0300> > On Fri, 2007-05-25 at 12:16 -0400, Bedirhan Urgun wrote:> > neyse sanirim hepimiz ayni seyden yanayiz, tek denetim degil (ama> > giriste mutlaka olabildigince kisitlilayici bir sekilde) katmanli> > denetim gerekli sonra da cikti denetimi (html encode, url encode,> > canonicalize v.b.). Ama sanirim her fonksiyonda girdi denetim> > yapilmasi sıkıntıya sokar gelistiriciyi. En azindan ben> > dellenirim... :)> > bedirhan> > "Dellenecek" bir sey yok. Butun "iyi programlama" kitaplari saglam> programlama (robust programming) icin beklenmedik> parametrelere/girdilere hazirliktan soz eder, konu guvenlik olmadan> coook once bile yazilmis "nasil iyi yazarsiniz" kitaplarinin hemen> hepsinde bu var... :)> > sevgiler.> -burak "muhalif" dayioglu> 
_________________________________________________________________
Change is good. See what’s different about Windows Live Hotmail. 
http://www.windowslive-hotmail.com/learnmore/default.html?locale=en-us&ocid=RMT_TAGLM_HMWL_reten_changegood_0507
-------------- next part --------------
An HTML attachment was scrubbed...
URL: http://lists.owasp.org/pipermail/owasp-turkey/attachments/20070525/4d2c037d/attachment.html 


More information about the Owasp-turkey mailing list