Posts Tagged ‘web uygulama güvenliÄŸi’
Javascript ile Girdi Denetimi
November 3rd, 2009 | Author: Cüneyt Bergel
Hepimizin bildiği üzere; girdi denetimi hem web uygulaması güvenliğinin hem de genel itibariyle güvenlik sektörünün en çok yanlış yapılan şeylerinden biri.
Bir çok web uygulamasında, girdi denetiminin (sadece) javascript ile yapıldığını görüyorum. Bunun iki sebebi olabilir.
Girdi denetimi gibi angarya işleri (!) istemci tarafında hallederek sunucu tarafında performans kazanmak. Yanlış girilen inputu hemen göstererek response zamanını düşürmek Şimdi sadece javascript (ya da herhangi bir istemci-taraflı dil) ile girdi denetimi yapıp, uygulamayı doğaya salmak beraberinde bir ton güvenlik problemi getirecektir.
Atıyorum doldurduğunuz formun ad, soyad ve numara haneleri veritabanına yazılacak. Burada SQL Injection’dan haberi olan herhangi bir ortalama web uygulaması geliştiricisi,kabaca kullanıcıdan aldığı ad, soyad ve numara verilerini SQL Query’e eklemeden önce filtreleyecektir. Bu filtreleme işlemini javascirpt ile istemci tarafında yaparsa, javascript kodları çalıştıktan ve HTTP isteği browser’ınızdan çıktıktan sonra araya bir MITM saldırı proxy’si ile kolayca girilebilecek ve filtrelediğiniz veriler eski-zararlı hallerine çevirilecektir. Filtreleme yapılmış kabul ettiğiniz veriler SQL Query’e eklenecek ve sonrasında saldırganı cyber-orgazmlara gark edecektir.
Web Uygulama Güvenliği Kılavuzu
August 6th, 2009 | Author: Cüneyt Bergel
Gerek kurumsal şirketlerde gerekse daha orta ölçekteki yapılarda kurum bünyesinde geliştirilen, dış kaynaklarca geliştirilen ya da dışarıdan satın alınıp uyarlanan yazılımların bir çoğunda kodlar güvenlik göz önüne alınmadan geliştirilmektedir.
İşte bu noktada Tubitak, Web uygulama geliştiricileri için hazırladığı ve güvenli uygulamalar geliştirebileceğiniz  bir kılavuz hazırladı.
Kılavuz için lütfen “Güvenli Yazılım GeliÅŸtirme” bölümüne bakınız.
Yazar: Cüneyt BERGEL