Sunum yükleniyor. Lütfen bekleyiniz

Sunum yükleniyor. Lütfen bekleyiniz

Copyright © The OWASP Foundation Permission is granted to copy, distribute and/or modify this document under the terms of the OWASP License. The OWASP.

Benzer bir sunumlar


... konulu sunumlar: "Copyright © The OWASP Foundation Permission is granted to copy, distribute and/or modify this document under the terms of the OWASP License. The OWASP."— Sunum transkripti:

1 Copyright © The OWASP Foundation Permission is granted to copy, distribute and/or modify this document under the terms of the OWASP License. The OWASP Foundation OWASP Perl de Güvenlik Modülü: Security.pm Bunyamin Demir OWASP-Turkey Chapter Web Security Day - Ankara Nov 24 th, 2007

2 OWASP Türkiye 2 İçerik  Güvenlik Modülü Tasarımı  Neler Eklenebilir?

3 OWASP Türkiye 3 Güvenlik Modülü Tasarımı  Hangi konularda tedbir almalıyım?  Girdi denetimi ve doğrulanması  Sql Injection  XSS  Session IDs  Hata Denetimi

4 OWASP Türkiye 4 Güvenlik Modülü Tasarımı – Girdi Denetimi ve Doğrulanması  Girdilere modülü kullanmadan erişimin engellenmesi.  Girdilerin tipine karar verilmesi ( ,ip,string v.s)  Tiplerin alt ve üst sınır uzunluklarının belirlenmesi (lenght)  Özel girdiler  Username  Name  Lastname  v.s.

5 OWASP Türkiye 5 Güvelik Modülü Tasarımı – Sql Injection  Placeholders  Placeholder kullanılmamış;  my $sth_user = $dbh->prepare (qq(SELECT * FROM users WHERE Userid=$uid )); $sth_user->execute || die 'SQL_ERROR'; # $uid or 1=1  Placeholder kullanılmış;  my $sth_user = $dbh->prepare (qq(SELECT * FROM users WHERE Userid=? )); $sth_user->execute($uid) || die 'SQL_ERROR';

6 OWASP Türkiye 6 Güvenlik Modülü Tasarımı - XSS  Girdi ve çıktı denetimi  Girdi  /home?cmd= alert('deneme') -Birlikte tamamlayacağız-  Dikkat edilmesi gerekenler  Whitelist; a-z,A-Z,0-9 kabul et.  Blacklist;, &, =, %, :, “, ‘ reddet.  HTML Encode; “ ” > “&” &  URL Encode; “ ” %3e

7 OWASP Türkiye 7 Güvenlik Modülü Tasarımı – Session IDs  Oturum id si URL den değil Cookie`den gönderilmeli ve alınmalı.  Rastgele ve aynı anda biriyle çakışmayacak id ler üretilmeli.  Data set >= 128 bits den fazla olmalı (tavsiye).  İlaveler  Veritabanında tutulabilir  IP kontrolü yapılabilir  v.s.

8 OWASP Türkiye 8 Güvenlik Modülü Tasarımı – Hata Denetimi  Kullanıcı adı hatalı, kullanıcı adı en az 5 karakter olmalı, şifre hatalı v.s gibi saldırgana bilgiler verilmemeli.  Kod tarafında oluşan hatalar direk hatanın kaynağı değilde kodu yazan kişiye yardımcı olacak şekilde düzenlenmeli (sadece satır numarası gösterilebilir).  Ek olarak  Veritbanına yazdırılabilir.  Hatalar özel bir dosyaya yazdırılabilir.

9 OWASP Türkiye 9 Neler Eklenebilir ……

10 OWASP Türkiye 10 C S & S O R U L A R C E V A P L A R S&CS&C

11 OWASP Türkiye 11 Teşekkürler! Bünyamin Demir


"Copyright © The OWASP Foundation Permission is granted to copy, distribute and/or modify this document under the terms of the OWASP License. The OWASP." indir ppt

Benzer bir sunumlar


Google Reklamları