[Owasp-turkey] [Fwd: [netsec] WordPress Kritik Guvenlik Acigi]

Bunyamin DEMIR bunyamindemir at gmail.com
Fri May 25 12:26:04 EDT 2007


Şimdi herkes "girdi denetimi" konusunda mutabık. Hatta ilk "iyi programlama"
konulu kitaplar bile bundan bahsetti diyoruz. Zaten burasına kimsenin
takıldığı yok. Mevzu denetimin hangi aşamada başlaması? Hangi aşamada
yoğulaşması? Hangi aşamada bitmesi?

Dayatma olmasın tabide.. İzlediğim yolu belirteyim.

Genelde temel kontrolleri en başta yaparım. Yani bir kullanıcını kredi kartı
numarası girmiş ise onu aldığım yerde denetlerim. Fakat bir fonksiyon
çağırılacaksa. Onu çağıran parametreyi fonksiyonun çağrıldığı
yerde-dosyasında denetlerim.

Örneğin,

Sisteme login olduk. Kullanıcı adı şifre denetlenmesinden geçtik. İçeride
bir linke bastığımızda (listele).  Giden parametre çağrıldığı yerde zaten
biliniyor. Biraz daha açayım. Bu sayfaya gelen talepler ancak ve ancak
"listele,goster" olabilir onun dışında gelen her türlü parametreyi salla
gitsin. Bu birazda güvenlik kontrolünü parçalara yaymaya yarıyor. Gerçi ilk
etapta girdinin kontrolüne daha yakın bir plan.

Umarım anlatabilmişimdir:)




25.05.2007 tarihinde Burak DAYIOGLU <burak.dayioglu at pro-g.com.tr> yazmış:
>
> On Fri, 2007-05-25 at 12:16 -0400, Bedirhan Urgun wrote:
> >  neyse sanirim hepimiz ayni seyden yanayiz, tek denetim degil (ama
> > giriste mutlaka olabildigince kisitlilayici bir sekilde) katmanli
> > denetim gerekli sonra da cikti denetimi (html encode, url encode,
> > canonicalize v.b.). Ama sanirim her fonksiyonda girdi denetim
> > yapilmasi sıkıntıya sokar gelistiriciyi. En azindan ben
> > dellenirim... :)
> >  bedirhan
>
> "Dellenecek" bir sey yok. Butun "iyi programlama" kitaplari saglam
> programlama (robust programming) icin beklenmedik
> parametrelere/girdilere hazirliktan soz eder, konu guvenlik olmadan
> coook once bile yazilmis "nasil iyi yazarsiniz" kitaplarinin hemen
> hepsinde bu var... :)
>
> sevgiler.
> -burak "muhalif" dayioglu
>
> _______________________________________________
> Owasp-turkey mailing list
> Owasp-turkey at lists.owasp.org
> https://lists.owasp.org/mailman/listinfo/owasp-turkey
>



-- 
Bunyamin Demir
OWASP-Turkey Chair
http://www.webguvenligi.org
-------------- next part --------------
An HTML attachment was scrubbed...
URL: http://lists.owasp.org/pipermail/owasp-turkey/attachments/20070525/da2d00ab/attachment.html 


More information about the Owasp-turkey mailing list