[Owasp-turkey] [Fwd: [netsec] WordPress Kritik Guvenlik Acigi]

Ferruh Mavituna ferruh at mavituna.com
Fri May 25 12:27:54 EDT 2007


Performans dert degil de bence iki defa yapilan encoding / escaping /
quoting dert. Ek olarak birden cok ve farkli yapilan bu islemlerde direk
baska guvenlik aciklarina neden olabiliyor. Nitekim bughtraq cok fazla
olmasa da bu duruma uygun guzel ornekler var.

On 25/05/07, Bedirhan Urgun <urgunb at hotmail.com> wrote:
>
>
> >(ii) kod icerisindeki tum metod ya da fonksiyonlarin kendi girdilerini
> >de "dis kaynaklardan geliyormuscasina" pozitif kontrol listeleri ile
> >sinamalari
>
> Dis kaynaklardan geliyormuscasina, her fonksiyonda denetim yapmak trust
> boundary (sizinde bildiginiz McGraw bundan bahsediyor) kavramina pek uymuyor
> gibi. Yani guvendigim bir cember (daire) olusturamayacaksam preformans duser
> ve kod yazmak cok zorlasir gibi geliyor. Bunun icin dellenmek kelimesini
> kullandim, yoksa normal bir gelistiriciden kat kat fazla paranoyagimdir.
>
> bedirhan
>
>
>
>
>
> ------------------------------
>
> > Subject: RE: [Owasp-turkey] [Fwd: [netsec] WordPress Kritik Guvenlik
> Acigi]
> > From: burak.dayioglu at pro-g.com.tr
> > To: urgunb at hotmail.com
> > CC: ferruh at mavituna.com; owasp-turkey at lists.owasp.org
> > Date: Fri, 25 May 2007 19:21:12 +0300
> >
> > On Fri, 2007-05-25 at 12:16 -0400, Bedirhan Urgun wrote:
> > > neyse sanirim hepimiz ayni seyden yanayiz, tek denetim degil (ama
> > > giriste mutlaka olabildigince kisitlilayici bir sekilde) katmanli
> > > denetim gerekli sonra da cikti denetimi (html encode, url encode,
> > > canonicalize v.b.). Ama sanirim her fonksiyonda girdi denetim
> > > yapilmasi sıkıntıya sokar gelistiriciyi. En azindan ben
> > > dellenirim... :)
> > > bedirhan
> >
> > "Dellenecek" bir sey yok. Butun "iyi programlama" kitaplari saglam
> > programlama (robust programming) icin beklenmedik
> > parametrelere/girdilere hazirliktan soz eder, konu guvenlik olmadan
> > coook once bile yazilmis "nasil iyi yazarsiniz" kitaplarinin hemen
> > hepsinde bu var... :)
> >
> > sevgiler.
> > -burak "muhalif" dayioglu
> >
>
>
> ------------------------------
> Change is good. See what's different about Windows Live Hotmail. Check it
> out!<http://www.windowslive-hotmail.com/learnmore/default.html?locale=en-us&ocid=RMT_TAGLM_HMWL_reten_changegood_0507%0A%0A>
>



-- 
Ferruh Mavituna
http://ferruh.mavituna.com
-------------- next part --------------
An HTML attachment was scrubbed...
URL: http://lists.owasp.org/pipermail/owasp-turkey/attachments/20070525/3d6ac288/attachment.html 


More information about the Owasp-turkey mailing list