[Owasp-turkey] [Fwd: [netsec] WordPress Kritik Guvenlik Acigi]

volkan uzun vuzun at csusb.edu
Fri May 25 12:44:12 EDT 2007


Konunun basini belki biraz kacirdigim icin alakasiz olabilir :-)

Ben girdinin her asamada kontrolunden yanayim, cunku girdinin ilk alindigi (
diyelim ki kullanici webden giris yapti ), ortamdan son asamaya dek her
zaman ayni programci yazmiyor.

Mesela; ben business katmanindaki kodu yaziyorsam; maalesef ui tarafini
yazip; benim siniflarima istekte bulunacak programciya guvenemem herseyi
kontrol etmis mi diye; hatta ve hatta test gruplarinin test islemlerinde
aciklari bulmasina da guvenemem, benim yapmam gereken yazdigim her module
gelecek girdinin sanki sistemi bozmaya calisacak bir kullaniciya ait
oldugunu dusunmek; ve ona gore onlem almak olmali.

Butun modulleri ayni programci yazsa bile gene her asamada kontrolden
yanayim :-) cunku bu seferde ileride kodun bakimini, optimizasyonunu yapacak
kisinin napacagina guvenemem, bir modulu bozup farkinda olmayarak diger
module denetimsiz parametre yollayabilir.

 

 

  _____  

From: owasp-turkey-bounces at lists.owasp.org
[mailto:owasp-turkey-bounces at lists.owasp.org] On Behalf Of Bunyamin DEMIR
Sent: Friday, May 25, 2007 9:26 AM
To: burak.dayioglu at pro-g.com.tr; Ferruh Mavituna; Bedirhan Urgun
Cc: owasp-turkey at lists.owasp.org
Subject: Re: [Owasp-turkey] [Fwd: [netsec] WordPress Kritik Guvenlik Acigi]

 

Şimdi herkes "girdi denetimi" konusunda mutabık. Hatta ilk "iyi programlama"
konulu kitaplar bile bundan bahsetti diyoruz. Zaten burasına kimsenin
takıldığı yok. Mevzu denetimin hangi aşamada başlaması? Hangi aşamada
yoğulaşması? Hangi aşamada bitmesi? 

Dayatma olmasın tabide.. İzlediğim yolu belirteyim. 

Genelde temel kontrolleri en başta yaparım. Yani bir kullanıcını kredi kartı
numarası girmiş ise onu aldığım yerde denetlerim. Fakat bir fonksiyon
çağırılacaksa. Onu çağıran parametreyi fonksiyonun çağrıldığı
yerde-dosyasında denetlerim. 

Örneğin,

Sisteme login olduk. Kullanıcı adı şifre denetlenmesinden geçtik. İçeride
bir linke bastığımızda (listele).  Giden parametre çağrıldığı yerde zaten
biliniyor. Biraz daha açayım. Bu sayfaya gelen talepler ancak ve ancak
"listele,goster" olabilir onun dışında gelen her türlü parametreyi salla
gitsin. Bu birazda güvenlik kontrolünü parçalara yaymaya yarıyor. Gerçi ilk
etapta girdinin kontrolüne daha yakın bir plan. 

Umarım anlatabilmişimdir:)





25.05.2007 tarihinde Burak DAYIOGLU <burak.dayioglu at pro-g.com.tr > yazmış:

On Fri, 2007-05-25 at 12:16 -0400, Bedirhan Urgun wrote:
>  neyse sanirim hepimiz ayni seyden yanayiz, tek denetim degil (ama 
> giriste mutlaka olabildigince kisitlilayici bir sekilde) katmanli
> denetim gerekli sonra da cikti denetimi (html encode, url encode,
> canonicalize v.b.). Ama sanirim her fonksiyonda girdi denetim
> yapilmasi sıkıntıya sokar gelistiriciyi. En azindan ben
> dellenirim... :)
>  bedirhan

"Dellenecek" bir sey yok. Butun "iyi programlama" kitaplari saglam
programlama (robust programming) icin beklenmedik 
parametrelere/girdilere hazirliktan soz eder, konu guvenlik olmadan
coook once bile yazilmis "nasil iyi yazarsiniz" kitaplarinin hemen
hepsinde bu var... :)

sevgiler.
-burak "muhalif" dayioglu 

_______________________________________________
Owasp-turkey mailing list
Owasp-turkey at lists.owasp.org
https://lists.owasp.org/mailman/listinfo/owasp-turkey




-- 
Bunyamin Demir
OWASP-Turkey Chair
http://www.webguvenligi.org 

-------------- sonraki bölüm --------------
Bir HTML eklentisi temizlendi...
URL: http://lists.owasp.org/pipermail/owasp-turkey/attachments/20070525/cfa8ce6e/attachment.html 


More information about the Owasp-turkey mailing list