[Owasp-turkey] [Fwd: [netsec] WordPress Kritik Guvenlik Acigi]

Bedirhan Urgun urgunb at hotmail.com
Fri May 25 12:31:53 EDT 2007


 
 her parametre alan fonksiyonda yapilmasi dert olabilir. Ayrica gelistirici bir denetimi yapmazken her fonksiyonda yapmasini beklemek de dert. 
 Bahsettigin mesele (birden cok ve farkli yapilan encoding ve digerleri) zaten wp'de bulunan aciklik (iki defa decode edilmesi 1. sunucuda 2. uygulamada).


Date: Fri, 25 May 2007 17:27:54 +0100From: ferruh at mavituna.comTo: urgunb at hotmail.comSubject: Re: [Owasp-turkey] [Fwd: [netsec] WordPress Kritik Guvenlik Acigi]CC: burak.dayioglu at pro-g.com.tr; owasp-turkey at lists.owasp.orgPerformans dert degil de bence iki defa yapilan encoding / escaping / quoting dert. Ek olarak birden cok ve farkli yapilan bu islemlerde direk baska guvenlik aciklarina neden olabiliyor. Nitekim bughtraq cok fazla olmasa da bu duruma uygun guzel ornekler var. 
On 25/05/07, Bedirhan Urgun <urgunb at hotmail.com> wrote:

 >(ii) kod icerisindeki tum metod ya da fonksiyonlarin kendi girdilerini>de "dis kaynaklardan geliyormuscasina" pozitif kontrol listeleri ile>sinamalari Dis kaynaklardan geliyormuscasina, her fonksiyonda denetim yapmak trust boundary (sizinde bildiginiz McGraw bundan bahsediyor) kavramina pek uymuyor gibi. Yani guvendigim bir cember (daire) olusturamayacaksam preformans duser ve kod yazmak cok zorlasir gibi geliyor. Bunun icin dellenmek kelimesini kullandim, yoksa normal bir gelistiriciden kat kat fazla paranoyagimdir.  bedirhan

> Subject: RE: [Owasp-turkey] [Fwd: [netsec] WordPress Kritik Guvenlik Acigi]> From: burak.dayioglu at pro-g.com.tr > To: urgunb at hotmail.com> CC: ferruh at mavituna.com; owasp-turkey at lists.owasp.org> Date: Fri, 25 May 2007 19:21:12 +0300 > > On Fri, 2007-05-25 at 12:16 -0400, Bedirhan Urgun wrote:> > neyse sanirim hepimiz ayni seyden yanayiz, tek denetim degil (ama> > giriste mutlaka olabildigince kisitlilayici bir sekilde) katmanli > > denetim gerekli sonra da cikti denetimi (html encode, url encode,> > canonicalize v.b.). Ama sanirim her fonksiyonda girdi denetim> > yapilmasi sıkıntıya sokar gelistiriciyi. En azindan ben > > dellenirim... :)> > bedirhan> > "Dellenecek" bir sey yok. Butun "iyi programlama" kitaplari saglam> programlama (robust programming) icin beklenmedik> parametrelere/girdilere hazirliktan soz eder, konu guvenlik olmadan > coook once bile yazilmis "nasil iyi yazarsiniz" kitaplarinin hemen> hepsinde bu var... :)> > sevgiler.> -burak "muhalif" dayioglu> 

Change is good. See what's different about Windows Live Hotmail. Check it out!-- Ferruh Mavitunahttp://ferruh.mavituna.com 
_________________________________________________________________
Add some color. Personalize your inbox with your favorite colors.
www.windowslive-hotmail.com/learnmore/personalize.html?locale=en-us&ocid=TXT_TAGLM_HMWL_reten_addcolor_0507
-------------- next part --------------
An HTML attachment was scrubbed...
URL: http://lists.owasp.org/pipermail/owasp-turkey/attachments/20070525/24e551f9/attachment.html 


More information about the Owasp-turkey mailing list