ASP.NET projelerimizde HTML kontrolleri sırasında güvenlikten dolayı karakterlerin filtrelenmesi bazı projelerimizde sorun yaratıyor.

Örneğin bir Gridview kontrolunde formdan gelen html inputlarına yer vermemiz gerekebilir ancak default olarak gelen bazı validating request değerlerinden dolayı problemler yaşabiliyor.

Bu problemleri aşmak için bazı yollar mevcut onları da şu şekilde sıralayabiliriz.

Her sayfamızın üst bölgesinde yer alan taglar arasına   ValidateRequest=”false” değerini ekleyip sayfadaki html kontrollerini göz ardı edebiliriz.

Fakat bu haliyle güvenlik problemlerine sebeb olacaktır.Gelen verinin güvenilirliğini önemsemiyorsanız kısaca bu şekilde problemi halledebiliriz.

Bir diğer yol ise HTML inputlarını forma giriş sırasında kendimiz bir kontrolden geçirmemiz olacaktır.

if (TextBox1.Text.Contains(”<script”))
{
throw new Exception(”Zararlı kod”);
}
else
{
Label1.Text = “Mesaj: ” + Server.HtmlEncode(TextBox1.Text);
}

TextBox'tan girdiğiniz değerler <script> ile başlayan zararlı bir javascript uygulaması olma ihtimaline karşı HtmlEncode fonksiyonunu kullanarak filtreleyebiliyoruz.

Tabi bu örnekleri sizler muhtemel gelebilecek güvenlik tehditlerine örnek olarak çoğaltabilirsiniz. 

 Kolay Gelsin :)

Yazılımcıların son yıllardaki belalarından biride XSS (cross site scripting) saldırıları oluyor.

Bazı manipulasyonlar sonucu elde edilen bilgiler ciddi anlamda son yıllarda birçok web sitesini tehdit eder konuma geldi.

Yazılımlarımızda her ne kadar filtreleme teknikleri kullanmaya özen göstersek de unuttuğumuz noktalarda ya da gözümüzden kaçan en ufak bir kodlama hatasından dolayı yazılımımızın güvenliği tehlikeye girebiliyor.

IE 8 ile birlikte gelmesi beklenen güvenlik çözümlerinden biri de XSS Filter özelliği olacak.

Mantığı ve mimarisini incelediğimizde bir web sitesine erişim sağlarken tarayıcı ilk olarak olabilecek muhtemel zararlı XSS kodlarını tarayacak ve güvenilir bulmadığı erişimlerde uyarı vererek kullanıcıya bildirecek. 

Bu bir nebze de olsa XSS saldırılarının profesyonel olmayan noktalarda çözümü olacaktır.

 2002 yılında hazırlanmış XSS Filter 1.0'ın protype görüntüsü

IE 8 XSS Filter özelliği erişim noktasında tespit ettiği saldırıları aşağıdakine benzer bir uyarı metoduyla vermesi bekleniyor.

Bakalım IE 8 güvenlik çözümü olarak bizlere daha ne gibi özellikler sunacak.

Hep birlikte göreceğiz..

Flash uygulamaların sıklığı son günlerde hızla artış gösterdi.

Özellikle görsel anlamda web sitelerine renk getirmeleri ve estetiklik bakımından da hoş görünümler kazandırdıkları için sıkça tercih ediliyorlar.

İşin görünmeyen tarafına yani kod bazında incelediğimiz de flash uygulama üreten kişilerin istedikleri koşullarda kullanıcıların clipboard (kopyala yapıştır hafızası) bilgilerini ele geçirmeleri mümkün oluyor.

Önceden javascript ile clipboard bilgilerinin ele geçirilebildiğini anlatan bir makale yayınlamıştım.

Bu kez aynı görevi yerine getiren bir flash uygulama mevcut.

Bu konuda bir demo hazırlanmış ve tamamen zararsız olarak web sitesine erişim sağladığınızda kopyalama hafızası www.evil.com adresiyle yer değiştiriyor ve istenildiği takdirde zararlı faaliyetler içeren kodlarda işletilebilir.

Örnek site için burasını ziyaret edebilirsiniz.

Korunma işlemi için ise aşağıda belirttiğim işlemi gerçekleştirebilirsiniz.

Internet explorerdan araçlar > internet seçeneklerini açın ardından Güvenlik sekmesine girin ve Özel düzeyi seçin açılan pencerede komut dizisi ile yapıştırma işlemine izin ver seçeneğini bulup devre dışı bırak seçiniz.

Bu işleme alternatif olarak flash uygulamaları bloklayan eklentiler vs. kurmanız da yararlı olacaktır.

Tabi bir o kadarda flash uygulamaları engelleyeceği için web sitelerinde problemler yaşayabilirsiniz.

Güvenlik ile yakından ilgilenenlerin işine yarayabilecek bir eklentiden bahsetmek istiyorum.

Firefox Security Toolkit eklentisi ile FF 3.0 da dahil olmak üzere web sitelerindeki bugları ve yazılım kaynaklı güvenlik tehtidlerini yakından inceleme ve test etme imkanı bulabilirsiniz.

Bu güvenlik paketi eklentisiyle allcookies,Cert Viewer Plus,Firebug,Firecookie,Fire Encrypter,FoxyProxy,Live HTTP Headers,Selenium IDE,Smart Middle Click,Tamper Data,User Agent Switcher,Web Developer eklentilerinin tümüne sahip olacaksınız.

Download and/or Install the FSTK v3.0 now

Yazılımlarımızın güvenliği için çeşitli kriptolama teknikleri yeri geldiğinde kullanıyoruz.

Her ne kadar şifreleme tekniklerini uygun bir biçimde de kullansak bir şekilde decrypt edilebiliyor.

.NET projelerimizin kodlarını kriptolamak için hazırlanmış bir araç mevcut.

dotNet Protector adındaki araç ile yazılımlarınızın güvenliğini bir kat daha arttırabilirsiniz.

Yazılım hakkındaki daha detaylı bilgiye buradan ulaşabilirsiniz.