IRCForumları - IRC ve mIRC Kullanıcılarının Buluşma Noktası
  sohbet

Etiketlenen Kullanıcılar

Yeni Konu aç Cevapla
 
LinkBack Seçenekler Stil
Alt 16 Mayıs 2013, 19:23   #1
Çevrimdışı
Kullanıcıların profil bilgileri misafirlere kapatılmıştır.
IF Ticaret Sayısı: (0)
IF Ticaret Yüzdesi:(%)
Css / Xss Açıkları Nasıl Kapatılır Alınacak Yöntemler Nelerdir ?




Söz edeceğimiz açık 2000 senesinden beri bilinen ama nedense hala web programcıları tarafından göz ardı edilen bir açıktır.

XSS Kullanıcının girdi sağlayacağı sayfalarda kullanıcı tarafından girdiye script’ler gömülerek yapılan saldırılardır. Bu bazen direkt kullanıcının (lamer) kendisi tarafından ya da onu başka bir isteye yönlendirmek isteyen bir lamer tarafından yapılıyor olabilir.

“Genelde cross site scripting açıkları saldırganın sistemi deneme-yanılma yaparak bulması ile ortaya çıkar. Açığın bulunması ile saldırgan başka bir domainden açığın bulunduğu domain ve sayfanın bilgilerini session bilgilerini ve diğer obje değerlerini çalmasına olağan sağlar.

"Cross-site scripting (XSS) güvenlik açıkları e-posta listelerinde en çok rastlanan güvenlik açıkları arasında yer almaktadır. Bunun başlıca nedeni ise bu açığa bir çok web uygulamasında rastlanması ve ücretsiz güvenlik açığı tarama yazılımları ile kolayca keşfedilmesidir..."

Çözüm:

Aslında çözüm yazılan kodlamanın düzeltilmesindedir.

Programın kullanıcıdan aldığı girdiler her zaman kontrolden geçirilmelidir. Bu aynı zamanda "Sql injection" "Buffer Overflow" gibi saldırıları da engelleyecektir.

Eğer belirli bir tür veri (numerik alfanümerik) bekleniyorsa ve belirli bir boyutta ( 8 karakter maksimum 20 karakter gibi) olması bekleniyorsa girilen verinin bu şartlara uyduğunun sağlanması gerekmektedir. Girdilerden ****karakter’ler mutlaka filtrelenmelidir. Bu birçok saldırıyı engelleyecektir. Örneğin ...
< > " ’ % ; ) ( & + -

karakterleri kullanıcı girdisinden temizlenmelidir. Aslında ne tür verinin beklendiği belirtildiği durumlarda bu tür filtreleme de otomatikman gerçekleşecektir.Bu tür karakterlerin gerektiği ortamlarda girilen verinin encode edilmesi gerekebilir.Bu önlemler birçok XSS saldırısını engelleyecektir.Web üzerinden yazılım geliştirenlerin Cert’in referansında yazılı olanlara dikkat etmesi ve kodlamalarında dökümanda belirtilen kurallara uyması gerekmektedir.

Ağda kurulacak bir sistemle bu saldırıların engellenmesinin sağlanması ise ancak sunucuları bir "proxy" veya IPS arkasına koyup her türlü data verisinin kontrolü ve düzeltilmesi ile sağlanabilir. Bu süreçte ise idari ve teknik çeşitli problemler yaşanabilecektir.

En etkin yol dökümanda belirtildiği üzere sunuculardaki kodun tekrar elden geçirilmesidir. Eğer kodu yazan ortalıklarda gözükmüyorsa ya o kod kaldırılmalı ya da ağ tabanlı bir çözüme gidilmelidir.

 
Alıntı ile Cevapla

IRCForumlari.NET Reklamlar
sohbet odaları sohbet odaları Benimmekan Mobil Sohbet
Cevapla


Konuyu Toplam 1 Üye okuyor. (0 Kayıtlı üye ve 1 Misafir)
 
Seçenekler
Stil

Yetkileriniz
Konu Acma Yetkiniz Yok
Cevap Yazma Yetkiniz Yok
Eklenti Yükleme Yetkiniz Yok
Mesajınızı Değiştirme Yetkiniz Yok

BB code is Açık
Smileler Açık
[IMG] Kodları Açık
HTML-Kodu Kapalı
Trackbacks are Kapalı
Pingbacks are Açık
Refbacks are Açık


Benzer Konular
Konu Konuyu Başlatan Forum Cevaplar Son Mesaj
Ciltteki Sorunlar Makyajla Nasıl Kapatılır AnqeL Güzellik, Sağlık ve Bakım Önerileri 0 05 Şubat 2012 16:01
LINUX Güvenlik Açıkları Nelerdir ? Sunay GNU, Linux ve UNIX 0 21 Nisan 2007 23:42