bildirgec.org

web sitelerinizin güvenliğinde, güvenlik taraması imkanı verecek ücretsiz web uygulama güvenliği test araçları bu makalede listelendi.

1- netsparker community edition (windows)

netsparker, sql injection + cross-site scripting sorunları tespit edebilir. tarama işlemi tamamlandıktan sonra bu konular için çözümler görüntüler.

2-websecurify (windows, linux, mac os x)

websecurify kolay kullanımlı ve otomatik olarak yazılımdaki zayıflıkları test eder, fuzzing teknolojilerini kullanarak web uygulama açıkları tespiteden açık kaynak kodlu bir araçtır. bu araç aynı zamanda çok dil desteği ve genişletilebilir eklenti desteği sunar.

Günümüz Web sitelerinin vazgeçilmez elemenlarından olan Web formları, web sitesi ile kullanıcı arasında cereyan eden interaktif etkileşim için, olmazsa olmaz bir web elemanı konumundalar.

En fazla kullanıldığı yerler olan, üyelik işlemleri gibi bilgi girişlerinin yoğun bir şekilde yapıldığı yerlerde kullanılan web formlarında bulunması gereken en önemli işlevsel özellik ise; kullanıcılar tarafından girilen bilgilerin, web geliştiriciler tarafından belirlenmiş geçerlilik kıstaslarına uyup uymadığının kontrol edilmesi.

Oldukça önemli olan bu işlevin tam olarak yerine getirilesini sağlamak amacı ile geliştirilmiş bir kütüphane olan ValidForm Builder, PHP ve JavaScript (JQuery) ile geliştirilmiş ve hem istemci taraflı hem de sunucu taraflı olarak, geçerlilik denetlemesini yapabilmekte.

Merhaba Arkadaşlar,
Bu makalede güvenli uygulama geliştirmede yardımcı olacak güvenlik araçlarından bahsedeceğim.

Bildiğiniz gibi Microsoft güvenlik alanında ki vizyonunu değiştirdikten sonra, geliştiricilerin güvenli kod yazmasına ciddi şekilde yarar sağlayan birçok araç çıkardı.

Bu araçları tanıyalım;

Microsoft Source Code Analyzer for SQL Injection
ASP scriptlerinizde Sql Injection sömürüsüne olanak veren kod olup olmadığını kontrol eden güzel bir uygulama.
Download

Asp.net ile kodlama yaparken sitenizi sql injection saldırılarına karşı korumanın en iyi yolu sql query’lerinde parametreli çalışmaktır. Örnek olarak :

İlk olarak sitemizin web.config dosyasına aşağıdaki kodları ekleyelim. Aşağıdaki kodda sitemizde veritabanına bağlantımızda kullanacağımız connectionStringi tanımlıyoruz. web.config dosyasında yapılan bu tanımlama işlemi hem güvenlik hem de bütün bağlantı kodlarını tek bir yerden yönetme konusunda kolaylık sağlar.

1
2
3
4
5
6

<configuration>
<connectionStrings>
<clear/>
<add name="baglanti" connectionString="server=serverAdi;database=databaseAdi;uid=kullaniciAdi;pwd=sifre"/>
</connectionStrings>
</configuration>

asp’de en çok karşılaşılan problemlerden birisi sql injection’dur. kısaca şöyle anlatayım. bu sorun request metodlarının tümünde başınıza bela olabilir.

nedir sql injection? sql injection sayfa.asp?id=1 gibi sayfalarınıza kastı olan kişilerin kullandıkları bir hack yöntemidir. Veya kullanıcı giriş formları gibi alanlarda kullanıcı adına ‘or’ şifre alanına ‘or’ yazan kötü niyetli kişiler sitenizi elinizden alamasa da bir hayli büyük işler açabilir. en basit şekliyle veritabanınızın içeriğini silebilir.

kötü niyetli kişi sayfa.asp?id=1 burada 1 yerine ‘or’ veya veya herhangi bir text değeri yazarak sitenize kast edebilir.

computerworld.com.au sitesinde 8 Ocak‘ta yayınlanan bu habere göre onbinlerce web sitesi programlanmış bir betik aracılığıyla sql injection saldırısına maruz kalmış.

Böylece onbinlerce sitelere kullanıcının sistemini etkileyebilecek zararlı kodları çalıştıracak betikler eklenmiş. Bazı sitelerin zararlı kodlardan arındırıldığı söylensede diğer sitelerin kullanıcının sistemini zararlı kodları çalıştırabilmek için zorlama ihtimali tehdit oluşturmakta.

Şu sayfada, ruby on rails (ror) ile yazılımış web uygulamalarında bulunması muhtemel güvenlik açıklarından bahsedilmiş. Bu klavuzda SQL Injection, XSS, CSRF… gibi popüler güvenlik açıklarına da değinilmiş.

Bu sayfada, php ile kod yazanların yapmış olduğu en sık 10 hatadan bahsedilmiş. Yazıda, bu hataları nasıl bertaraf edeceğiniz de anlatılmış. Yazdığınız kodlarda güvenlik açığı oluşturmamanız için okumanızı öneririm.Özetle yazıdaki başlıklar şöyle:

1. html etiketlerindeki < ve > karakterlerinin dönüştürülmemesi
2. SQL injection için önlem alınmaması
3. HTTP başlıkları ile ilgili fonksiyonların yanlış kullanılması
4. Güvensiz veri kullanılarak dosyaların include veya require edilmesi
5. Yazım hataları
6. OOP‘nin çok az kullanılması veya hiç kullanılmaması
7. Bir framework kullanılmaması
8. Mevcut fonksiyonlardan haberdar olmama
9. Eskimiş php sürümlerinin kullanılması
10. Tek ve çift tırnak sorunu

merhaba günnükcan,

sen bu yazıyı okurken ben kahvaltımı yapmış, çayımı yudumluyor olacağım. evet evet, bu saatte kahvaltı!

kısa özete geçiyorum:
1. 24 saatin 20’sini evde geçirip o kadar yemek yedikten sonra evde kod yazmaktan, patates yumrusu gibi bir şey olup çıktım efendim. önümde benden habersiz yapıştırılmış gibi duran göbeğim beni rahatsız etmelerde… kendisiyle pek yakında ilgilenmek gereği doğdu. hele şu çalışmalarım bir sonuç versin bakayım…

2. beşiktaş’ta güzel bir lokanta olan ali baba restaruant’a gitmiş idik. ekmeğin üzerinde kalan unlardan dolayı, tutmuş olduğum tuzluğun elimden fırlayıp yere düşmesini engelleyememiş bulundum. oranın garsonlarına garip bir eğitim veriyorlar sanırsam. niye dersen, ne yaparsan yap; ilginç bir şekilde gülümseyip rahat etmeni sağlamaya çalışıyorlar. bunu anlatmamın nedeni şu ki; garsonlar “hiç önemli değil aaabi” dedikten 3 saniye sonra yan masadan aldığı tuzluğu masama koymak istedi. ve o da düşürdü tuzluğu! içimden dedim ki, “valla hakkaten önemli değilmiş sanırım”!