<html>
<head>
<style>
P
{
margin:0px;
padding:0px
}
body
{
FONT-SIZE: 10pt;
FONT-FAMILY:Tahoma
}
</style>
</head>
<body>&nbsp;<BR>
&nbsp;:) abi biliyorum tekrar etmis gibi olacagim ama verdigin html ve sql ornegi girdi denetimi ile alakali degil pek. cikti denetimi diyelim biz onlara... Yani sorun terim meselesi degil&nbsp;tabi. filtereleme ile escape/encode'u ayirma meselesi.<BR>&nbsp;tabi eger veritabanini guvenlik cemberinin icinde tutarsak o baska.<BR>
&nbsp;<BR>
&nbsp;neyse sanirim hepimiz ayni seyden yanayiz, tek denetim degil (ama giriste mutlaka olabildigince kisitlilayici bir sekilde) katmanli denetim gerekli sonra da cikti denetimi (html encode, url encode, canonicalize v.b.). Ama sanirim her fonksiyonda girdi denetim yapilmasi&nbsp;sıkıntıya sokar&nbsp;gelistiriciyi. En azindan ben dellenirim... :)<BR><BR>
&nbsp;bedirhan<BR><BR>
<BLOCKQUOTE>
<HR id=EC_stopSpelling>
Date: Fri, 25 May 2007 16:35:16 +0100<BR>From: ferruh@mavituna.com<BR>To: burak.dayioglu@pro-g.com.tr<BR>CC: owasp-turkey@lists.owasp.org<BR>Subject: Re: [Owasp-turkey] [Fwd: [netsec] WordPress Kritik Guvenlik Acigi]<BR><BR>Cok basit bir ornek bir arama ekranindaki parametre hemen hemen her zaman hem HTML e gider hem SQL e. Ikisine de uyan bir pozitif filtreleme belki uretilebilir ama her uygulamada mumkun olmayacaktir. O yuzden kaba bir filtrelemeden otesinin verimli olacagina inanmiyorum. <BR><BR>Ek olarak gelen parametre HTML de iki yere cikiyor olabilir. Mesela biri normal HTML sayfasinda yazilacak olabilir digeri ise JS icerisine gidecek olabilir. Dolayisiyla bu parametrenin iki farkli sekilde filtreleme edilmesi gerekiyor. <BR><BR>Ama tabii ki dediginiz gibi cogu durumda beklenen parametre integer ise bunun filtresi bariz ve en basta yapildiginda herseyi cozecektir :)<BR><BR>
<DIV><SPAN class=EC_gmail_quote>On 25/05/07, <B class=EC_gmail_sendername>Burak DAYIOGLU</B> &lt;<A href="mailto:burak.dayioglu@pro-g.com.tr">burak.dayioglu@pro-g.com.tr</A>&gt; wrote:</SPAN>
<BLOCKQUOTE class=EC_gmail_quote style="PADDING-LEFT: 1ex">On Fri, 2007-05-25 at 16:12 +0100, Ferruh Mavituna wrote:<BR>&gt; Merhaba,<BR>&gt; Sorun su ki genelde yazilimlarda bir bilgi birden cok yerde<BR>&gt; kullanilmak icin uygulamaya geliyor. Dolayisiyla ilk adimda hangi<BR>&gt; filtrelerden gecmesi gerektigini bilemiyorsunuz. Buna ragmen tabii ki <BR>&gt; cok kaba filtreleme yapilabilir. Bu yuzden kullanim noktasindan<BR>&gt; filtreden gecirmenin daha iyi oldugunu dusunuyorum.<BR><BR>Ferruh Hocam,<BR>Siz konuya girdiden kaynaklanabilecek "tehditlerden" dogru bakiyorsunuz. <BR>Bosverin guvenligi, tehdidi, riski...&nbsp;&nbsp;Ben disaridan girdi aliyorum,<BR>neyin makul oldugunu istisnasiz *her durumda* bastan tanimlayabilecegimi<BR>dusunuyorum, bilgi iki yerde de kullanilsa bes yerde de kullanilsa durum <BR>ayni bence...<BR><BR>slm.<BR>--<BR>Burak DAYIOGLU, Genel Koordinator<BR>Pro-G Bilisim Guvenligi ve Arastirma Ltd.<BR>T:+90 312 4733512&nbsp;&nbsp; W:<A href="http://www.pro-g.com.tr/" target=_blank>http://www.pro-g.com.tr</A><BR>*****&nbsp;&nbsp;&nbsp;&nbsp;Guvenliginiz Geleceginizdir&nbsp;&nbsp;&nbsp;&nbsp;***** <BR><BR>Blog: <A href="http://www.burakdayioglu.net/" target=_blank>http://www.burakdayioglu.net</A><BR><BR></BLOCKQUOTE></DIV><BR><BR clear=all><BR>-- <BR>Ferruh Mavituna<BR><A href="http://ferruh.mavituna.com/" target=_blank>http://ferruh.mavituna.com </A></BLOCKQUOTE><br /><hr />Change is good. See what’s different about Windows Live Hotmail.  <a href='http://www.windowslive-hotmail.com/learnmore/default.html?locale=en-us&ocid=RMT_TAGLM_HMWL_reten_changegood_0507

' target='_new'>Check it out!</a></body>
</html>