<table cellspacing="0" cellpadding="0" border="0" ><tr><td valign="top" style="font: inherit;"><DIV id=yiv2070226785>
<DIV>Merhaba,</DIV>
<DIV>Bir LDAP injection&nbsp;tehlikesi gördüm sanki... ;)</DIV>
<DIV>&nbsp;</DIV>
<DIV>Riskler : </DIV>
<DIV>TextBox'a asterisk karakteri girildiğinde tüm username'leri döndürecektir.</DIV>
<DIV>'(','|','&amp;' gibi karakterleri kullanarak farklı eğlenceler de denenebilir.</DIV>
<DIV>&nbsp;</DIV>
<DIV>Önlemek için <A href="http://en.wikipedia.org/wiki/Regular_expression" rel=nofollow target=_blank>regular expression </A>kontrolü yapılabilir. Mesela :</DIV>
<DIV>String userName = Regex.IsMatch(Request.Querystring(“aUserName”),"^[A-Za-z]{16}$");</DIV>
<DIV>&nbsp;</DIV>
<DIV>İyi çalışmalar.</DIV>
<DIV>&nbsp;</DIV>
<DIV><FONT face="arial, helvetica, sans-serif">Ihsan Varol</FONT></DIV>
<DIV><FONT face="arial, helvetica, sans-serif">Logo Business Solutions</FONT></DIV><FONT face="Times New Roman"></FONT></DIV>
<DIV>&nbsp;</DIV>
<DIV>
<DIV><BR>--- <B>16/10/09 Cum tarihinde Bedirhan Urgun <I>&lt;bedirhanurgun@gmail.com&gt;</I></B> şöyle yazıyor:<BR></DIV>
<BLOCKQUOTE style="BORDER-LEFT: rgb(16,16,255) 2px solid; PADDING-LEFT: 5px; MARGIN-LEFT: 5px"><BR>Kimden: Bedirhan Urgun &lt;bedirhanurgun@gmail.com&gt;<BR>Konu: [Owasp-turkey] Arızayı Bul #3<BR>Kime: "OWASP-Türkiye" &lt;owasp-turkey@lists.owasp.org&gt;<BR>Tarihi: 16 Ekim 2009 Cuma, 19:21<BR><BR>
<DIV id=yiv240603954>
<DIV>&nbsp;</DIV>
<DIV>Merhaba,</DIV>
<DIV>java ve javascript'ten sonra bir c# arizayi bul ornegi. <EM>Yazdigim bir thick client uygulamasindan... :(</EM></DIV>
<DIV>&nbsp;</DIV>
<DIV>bedirhan</DIV>
<DIV>&nbsp;</DIV>
<DIV>&nbsp;</DIV>
<DIV>Arizayi Bul#3</DIV>
<DIV>-------------------</DIV>
<DIV>&nbsp;</DIV>
<DIV>&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp; private void button1_Click(object sender, EventArgs e)<BR>&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp; {<BR>&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp; Requester requester = GetRequester(textBox2.Text);<BR>&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp; textBox1.Text += requester.ToString();<BR>&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp; textBox2.Text = requester.Manager;<BR>&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp; }<BR>&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp; <BR>&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp; <BR>&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp; private Requester GetRequester(string aUserName)<BR>&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp; {<BR>&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp; Requester requester = null;</DIV>
<DIV>&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp; // get our user<BR>&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp; DirectoryEntry ldapUser = GetLDAPUser(aUserName);</DIV>
<DIV>&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp; if (ldapUser == null)<BR>&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp; return requester;<BR>&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp; ...<BR>&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp; <BR>&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp; }<BR>&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp; <BR>&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp; private DirectoryEntry GetLDAPUser(string UserName)<BR>&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp; {<BR>&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp; DirectoryEntry de = GetDirectoryEntry();<BR>&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp; DirectorySearcher deSearch = new DirectorySearcher();<BR>&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp; deSearch.SearchRoot = de;</DIV>
<DIV>&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp; deSearch.Filter = "(&amp;(objectClass=user)(sAMAccountName=" + UserName + "))";<BR>&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp; deSearch.SearchScope = SearchScope.Subtree;<BR>&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp; SearchResult results = deSearch.FindOne();</DIV>
<DIV>&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp; if (results != null)<BR>&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp; return GetDirectoryEntry(results.Path);<BR>&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp; else<BR>&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp; return null;<BR>&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp; }<BR></DIV></DIV><BR>-----Satır İçi Eki Var-----<BR><BR>
<DIV class=plainMail>_______________________________________________<BR>Owasp-turkey mailing list<BR><A href="http://tr.mc538.mail.yahoo.com/mc/compose?to=Owasp-turkey@lists.owasp.org" rel=nofollow target=_blank>Owasp-turkey@lists.owasp.org</A><BR><A href="https://lists.owasp.org/mailman/listinfo/owasp-turkey" rel=nofollow target=_blank>https://lists.owasp.org/mailman/listinfo/owasp-turkey</A><BR></DIV></BLOCKQUOTE></DIV></td></tr></table><br>



      <hr size="1"><FONT face=Arial size=-1>Yahoo! Türkiye açıldı!<br>
Haber, Ekonomi, Videolar, Oyunlar hepsi Yahoo! Türkiye&#39;de!<br><a href="http://tr.yahoo.com/">www.yahoo.com.tr</a></font>