AnasayfaSSSÜye ListesiKayıt OlGiriş yap






Paylaş | 
 

 Web Uygulamalarında Kullanılan Kodların Güvenliği

Aşağa gitmek 
YazarMesaj
IIKaseRII
Mesajcı Üye
Mesajcı Üye
avatar

Mesaj Sayısı Mesaj Sayısı : 134
Teşekkür Puanı Teşekkür Puanı : 21
Kayıt tarihi Kayıt tarihi : 28/06/10
Nerden Nerden : İstanbul

MesajKonu: Web Uygulamalarında Kullanılan Kodların Güvenliği   Ptsi Haz. 28, 2010 2:15 pm

web uygulamanızı
yüklediğiniz sunucuların kendi çaplarında bir takım güvenlik
uygulamaları vardır fakat bu uygulamalar sunucuda size ait olan web
alanın tamamen güvende olduğu anlamına gelmemelidir.veritabanınız ile
birlikte kullandığınız web programlama dilinin içeriğindeki kodların
güvenliğini sağlamak sunucunuzdan önce sizin sorumluluğunuzdadır.
özellikle istemci tarafında çalışan kodları abuse etmek daha mümkün
olduğudan,bu tür eylemlere tedbir almak ta kaçınılmaz olmaktadır.

şimdi, web uygulamarında en sık karşılaşılan güvenlik açıkları ve
açıklardan yapılan saldırılardan bahsedelim:

1 - Web Uygulamalarında Sql Sorgularının
Değiştirilebilmesi:

web uygulamalarında bazı bilgilerin tutulabilmesi için sql veritabanları
kullanılmaktadır.uygulama geliştiricileri,bazı durumlarda
kullanıcılardan gelen verileri beklenen veri türü ile karşılaştırmayarak
sql soruları içinde kullanmaktadırlar.genel olrak problemler,uygulama
geliştiricinin sql sorgularında anlam ifade edebilecek ' ;UNION gibi kötü niyetli karakterlere karşı bir
önlem alınmadığı zaman orataya çıkmaktadır.bu durum kullanıcıya önceden
planlanmamış uygulama düzeyide erişim sağlayabilir.içinde sql sorgulama
barındıran bir çok ürün sql sorguları değiştirilebilmesine (sql
injection) karşı savunmasızdır.saldırganlar sql sorgularını değiştirme
tekniklerini web sitelerine ve uygulamalarına zarar vermek amaçlı
kullanmaktadırlar.sql enjeksiyon ile saldırgan bir tablo
yaratabilir,değişiklikler yapalabilir,veritabanı üzerinde erişim
sağlayabilir beya veritabanı kullanıcısının hakları doğrultusunda
sunucuda komut çalıştırabilir.

Çözüm Önerileri :

Uygulamanın tüm bileşenlerinde kullanılan değişkenler için kontroller
oluşturulmalı ve değişkene atanması beklenen veri türü ile kullanıcı
girdisi karşılaştırılmalıdır.beklenen girdi türünden farklı karakterler
saptanması durumunda, karakterler sql sorfgularında anlam ifade
etmeyecek biçimde değiştirilmeli ,silinmeli veya kullanıcıya uyarı
mesajı döndürülmelidir.tercihen uygulamanın tamamı için geçerli
olacak,değişken türü ve atanabilecek girdi türünü parametre olarak alan
ve kontrolleri yaptıktan sonra girdi kabul sonucu üreten sabit bir
fonksiyon tercih edilmelidir.

2 - Web Uygulamalarında Çapraz Kod Çalıştırma (Cross
Site scripting) :

Başka siteden kod çalıştırma (cross site scripting) açıkları bir
saldırganın hedef web sitesi aracılığıyla site ziyaretçilerinin
sisteminde komut çalıştırabilmesine olanak tanımaktadır.saldırı sonucu
olarak site ziyaretçilerinin browserlarında bulunabilecek güvenlik
açıklarının kullanılması , Javascript/ActiveX ve Vbscript komutlarının
çalıştırılmasını mümkün kılmaktadır.Bu tür komutlar ile kullanıcıya ait
site çerezleri alınabilir, kaydedilmiş şifreler çalınabilir veya
browser'da bulunabilecek güvenlik açıkları ile kullanıcı sistemi ele
geçirebilir.ayrıca elektronik ticaret veya bankacılık uygulamaları için
sahte giriş ekranları oluşturularak ziyaretçilerin yanıltılması ve
sonucunda kullanıcıya ait önemli bilgilerin ele geçirilmesi mümkün
olabilir.

Çözüm Önerileri :

Uygulamanın tüm bileşenlerinde kullanılan değişkenler için kontroller
oluşturulmalı ve değişkene atanması beklenen veri türü ile kullanıcı
girdisi karşılaştırılmalıdır.Beklenen girdi türünden farklı karakterler
(örn. <>/;()) saptanması durumunda,
karakterler anlam ifade etmeyecek şekilde değiştirmeli,silinmeli veya
kullanıcıya uyarı mesajı döndürülmelidir.Tercihen uygulamanın tamamı
için geçerli olacak ,değişken türü ve atanabilecek girdi türünü
parametre olarak alan ve kontrolleri yaptıktan sonra girdi kabul sonucu
üreten sabit bir fonksiyon tercih edilmelidir.

Sayfa başına dön Aşağa gitmek
http://pvpserverinfo.yetkin-forum.com
 
Web Uygulamalarında Kullanılan Kodların Güvenliği
Sayfa başına dön 
1 sayfadaki 1 sayfası
 Similar topics
-
» Kullanıcı Adı Değiştirme Formu
» sevgilim7bni 4x kullanımı

Bu forumun müsaadesi var:Bu forumdaki mesajlara cevap veremezsiniz
Pvp Server İnfo l Metin2 PVP l KO PVP :: Diğer Forumlar.. :: Web Masterler İçin-
Buraya geçin: