From: Timu EREN (selamtux@gmail.com)
Date: Fri 12 Jan 2007 - 14:44:40 GMT
Merhaba,
Basitçe değinmek gerekir ise kodun hiç bir yerinde register_globals
değerinin "on" olarak düşünülmemesi gerekiyor.
Ardından get, post, ve cookie'ler için aynı değerlerin kullanılmaması da bir
önlem. Url'den yada kullanıcıdan alacağınız parametleri belirleyip gerekli
filtre işlemlerinden geçirmelisiniz ve bunu mutlaka ve mutlaka eksiksiz
yapmalısız. En iyisi bunun için ctype eklentisini ve filter eklentisini
kullanmak olacaktır.
$id = $_GET['id'];
$tmp_id = (int) $id; //Integer'a cast edelim
if(is_int($tmp_id) && $tmp_id == $id) //Eşitliği kontrol ediyoruz.
{
//gelen değer mutlak integer ve kullanıcıdan gelen veri ile aynı
}
gpc_magic_quates değerinin on olacağını hiç bir zaman düşünmeyin zira url'den
gönderilen "\" lar ile bu atlatılmaktadır.
apache'nin mod_security modulü gibi bir eklentiyi uygulama seviyesinde
yazabilirsiniz. Yani kullanıcıdan gelen veriler içerisinde (tüm gelen
veriler içerisinde, cookie post, get mutlak her sayfa için çalıştırılacak
method / fonksiyon) "select","delete","update", "insert" araması yapacak ve
eğer var ise hiç bir sql işlemi yapmadan kullanıcıyı başka bir yere
yönlendirecek. Anahtar kelimeler size bağlı elbette.
false, true, null değerlerini mutlak olarak === ile kontrol edin.
filter eklentisini inceleyin.
son olarak iyi bir framework kullanmak pek çok konuda size yardımcı
olacaktır.
Cuma 12 Ocak 2007 16:27 tarihinde, A OKAN YÜKSEL şunları yazmıştı:
> php.ini dosyasından allow_url_fopen = On değerini off yaparsanız c99 veya
> r57 ile yapılabilecek remote file inclusion saldırılarından
> korunabilirsiniz.
>
> On 1/12/07, Nuri Akman <nuri.akman@hazine.gov.tr> wrote:
> > Arkadaşlar,
> >
> > URL'den parametre alarak çalışma sırasında web sitesinin (örnek:
> > modul=haber sonrası C99 veya R57) ve veritabanının (örnet: drop table
> > users; ) kalabileceği tehlikeler sanırım herkesin ortak problemi.
> >
> > URL'den parametrelerine karşı alınabilecek güvenlik tedbirleri bir örnek
> > ile gösterebilecek kimse var mıdır acaba?
> >
> > Sevgiler,
> > Nuri AKMAN
> >
> > ----- Original Message -----
> > *From:* A OKAN YÜKSEL <kaox.gen@gmail.com>
> > *To:* linux-programlama@liste.linux.org.tr
> > *Sent:* Thursday, January 11, 2007 11:19 PM
> > *Subject:* Re: [Linux-programlama] ?sayfaid=4 korkusu ...
> >
> > magic quotes saldırıyı engelleyemez
> >
> > On 1/11/07, Ömer F. USTA <omerusta@gmail.com> wrote:
> > > tüm aldığınız değerleri önce şunun içine soktuktan sonra
> > > bir değişkene atarsanız çok daha güvenli olacaktır
> > > function mktag($string) // Gelen metnin html tagı olarak
> > > algılanması için
> > > { // değişiklik yapar.
> > > /* Add slashes if necessary */
> > > if(!get_magic_quotes_gpc()) {
> > > $string = addslashes($string);
> > > }
> > > return htmlspecialchars($string,ENT_QUOTES);
> > > }
> > >
> > >
> > > bu fonksiyonu şu şekilde kullanabilirsiniz mesela
> > > $_SESSION["kullanici"]=mktag($_POST['kullanici']);
> > > $_SESSION["password"]=md5(mktag($_POST['password']));
> > >
> > > On 1/11/07, A OKAN YÜKSEL <kaox.gen@gmail.com> wrote:
> > > > gelen tüm inputları doğru şekilde süzgeçten geçirdiğiniz sürece sorun
> > > > yaşamassınız eğer mysql kullanıyorsanız global kullanıcı ile
> > >
> > > çalışmamanızı
> > >
> > > > öneririm. yine sunucu taraflı bir tedbir olarak virtualhost lar için
> > > > openbasedir tanımlamanızı, bunun dışında system exec gibi
> > >
> > > fonksyionları
> > >
> > > > php.ini'da disable functions'a ekleyerek kapatmanızı
> > > > öneriyorum
> > > >
> > > > On 1/11/07, Nuri Akman <nuri.akman@hazine.gov.tr> wrote:
> > > > > Arkadaşlar,
> > > > >
> > > > > Hazırladığım PHP web sitesinde articlegoster.php?sayfaid=4 şeklinde
> > > >
> > > > erişilen sayfalarım var.
> > > >
> > > > > Sayfa içinde $SayfaID = (int) $_GET['sayfaid']; şeklinde bir
> > > > > kontrol
> > > >
> > > > alarak bu şekilde gelecek saldırıyı önlemeye çalıştım.
> > > >
> > > > > Soru 1.) Numerik değerler için bu tedbir yeterli midir?
> > > > >
> > > > > Soru 2.) Bu şekilde çalışan bir site için bir "güvenlik açığı"
> > >
> > > sözkonusu
> > >
> > > > olabilir mi?
> > > >
> > > > > Soru 3.) Bu şekildeki bir site için extra "güvenlik tedbiri"
> > >
> > > ihtiyacı var
> > >
> > > > mıdır?
> > > >
> > > > > Sevgiler,
> > > > > Nuri AKMAN
> > > > > _______________________________________________
> > > > > Linux-programlama mailing list
> > > > > Linux-programlama@liste.linux.org.tr
> > > >
> > > > http://liste.linux.org.tr/mailman/listinfo/linux-programlama
> > > >
> > > >
> > > >
> > > >
> > > >
> > > >
> > > > --
> > > > http://www.knyksl.com/
> > > > _______________________________________________
> > > > Linux-programlama mailing list
> > > > Linux-programlama@liste.linux.org.tr
> > > > http://liste.linux.org.tr/mailman/listinfo/linux-programlama
> > >
> > > --
> > > Ömer Fadıl USTA
> > > http://www.bilisimlab.com/
> > >
> > > _______________________________________________
> > > Linux-programlama mailing list
> > > Linux-programlama@liste.linux.org.tr
> > > http://liste.linux.org.tr/mailman/listinfo/linux-programlama
> >
> > --
> > http://www.knyksl.com/
> >
> > ------------------------------
> >
> > _______________________________________________
> > Linux-programlama mailing list
> > Linux-programlama@liste.linux.org.tr
> > http://liste.linux.org.tr/mailman/listinfo/linux-programlama
> >
> >
> > _______________________________________________
> > Linux-programlama mailing list
> > Linux-programlama@liste.linux.org.tr
> > http://liste.linux.org.tr/mailman/listinfo/linux-programlama
-- Saygılar && İyi çalışmalar Timu EREN (a.k.a selam)
_______________________________________________
Linux-programlama mailing list
Linux-programlama@liste.linux.org.tr
http://liste.linux.org.tr/mailman/listinfo/linux-programlama