chat ege.net

ASP'de Güvenlik Aşamaları

mgtdizayn

Onaylı Üye
Katılım
8 Ara 2011
Mesajlar
889
Yaş
38
Konum
İstanbul
ASP'de Güvenlik Aşamaları

1. ADIM:

ASP kodlarında en çok tehlikeye neden olan ve SQL INJECTION olarak tabir edilen güvenlik sorununu aşağıda vermiş olduğumuz örnek kod yardımıyla çok basit bir şekilde çözebilirsiniz.

Örnek olarak link.asp adlı bir sayfanızın olduğunu düşünelim. Link.asp sayfasının içinden Link_Guncelle.asp?ID=1 şeklinde bir gidiş olsun.Eğer siz aşağıdaki kodu link_guncelle.asp'deki request.querystring kısmınıza koymazsanız. Kötü niyetli kişiler ' karakteri ile SQL cümlenizi istedikleri yönde kullanabilirler.

Sizin koymuş olduğunuz kod şu şekilde ise; ID = REQUEST.QUERYSTRING("ID") bu kodu aşağıda verdiğimiz şekilde değiştirin:


ID = REQUEST.QUERYSTRING("ID")
IF Not IsNumeric(REQUEST.QUERYSTRING("ID")) THEN
response.write "Lütfen Geçerli bir ID numarası girin."
response.end
END IF

______________________________________________________________________


2. ADIM:

Bu adımda da sayfalarımızda kullanmış olduğumuz formlardan gelen verilerde bulunan ' karakterini nasıl etkisiz hale getirebileceğimizi göreceğiz.

Sayfalarınızda kullandığınız formların işlendiği yani örnek olarak form.asp'nin bilgileri kaydetmek için yönlenmiş olduğu form_kaydet.asp dosyasındaki REQUEST.FORM kısımlarını koruma altına almanız gerekmektedir.Bunu aşağıda yazmış olduğumuz fonksiyon kodu ile çok basit bir şekilde gerçekleştirebilirsiniz:

Bu fonksiyon kodunu sayfanızın en tepesine koymanız yeterli olacaktır:

Function KarakterTemizle(Veri)
KarakterTemizle = Replace(Veri, "'", "''")
Veri = KarakterTemizle
End Function

Fonksiyon kodunu sayfanıza yerleştirdikten sonra aşağıda yanlış olan yolu ve doğru olan yolu görebilirsiniz:

Yanlış olan Hali: GelenVeri = REQUEST.FORM("GelenVeri")

Doğru hali: GelenVeri = KarakterTemizle(Request.Form("GelenVeri"))

________________________________________________________________

3. ADIM:

Son olarak bu adımda yine form kutucukları yoluyla kodlarımıza kötü amaçlı saldırılar yapılmasını engelleyeceğiz.

Yine 2.adımda belirttiğimiz gibi form.asp'den form_kaydet.asp'ye veri yolladığımız için form_kaydet.asp içerisinde bulunan REQUEST.FORM'ları aşağıda vermiş olduğumuz fonksiyon ile koruma altına almanız gerekmektedir;

Function KarakterTemizle(Veri)
KarakterTemizle = Replace(Veri, "<", "<")
KarakterTemizle = Replace(Veri, ">", ">")

Veri = KarakterTemizle
End Function

Bu fonksiyonu sayfanızın en tepesine koymanız yeterli olacaktır.Bundan sonra yapmanız gereken ise REQUEST.FORM kodlarınızı şu şekilde düzenlemenizdir;

Yanlış olan hali: GelenVeri = REQUEST.FORM("GelenVeri")

Doğru hali: GelenVeri = KarakterTemizle(Request.Form("GelenVeri"))

______________________________________________________________

En son olarak ekleyebileceğimiz şey ise gördüğünüz gibi 2. adım ve 3. adımda kullanmış olduğumuz fonksiyonlar birbirine çok benziyor.Biz her ikisini ayrı ayrı incelemeniz için bir birlerinden ayrı olarak yazdık.Aşağıda ikisinin birleştirilmiş halini bulabilirsiniz.Birleştirilmiş halde olan fonksiyonu da yine aynı şekilde "Doğru hali" olarak belirttiğimiz şekilde kullanabilirsiniz.

Function KarakterTemizle(Veri)
KarakterTemizle = Replace(Veri, "'", "''")
KarakterTemizle = Replace(Veri, "<", "<")
KarakterTemizle = Replace(Veri, ">", ">")
Veri = KarakterTemizle
End Function

GelenVeri = KarakterTemizle(Request.Form("GelenVeri")) veya GelenVeri = KarakterTemizle(Request.Querystring("GelenVeri"))
 

NusretOksuzoglu

Pratik Üye
Katılım
27 Şub 2014
Mesajlar
28
Yaş
31
Hocam İzninle Birşey Paylaşmak istiyorum

Bildiğiniz Gibi Asp.net En İyi Yazılım Programı Visual Studio Bu Programda Çalışmanızı Tavsiye Ederim Birde Önemli Bir Konu Veritabanı Olarak .mdb Kullanıyorsanız Kesinlike Yönetici Bilgilerini Kesinlikle veritabanını Yazmayınız Eğer Birden Çok Yönetici Varsa Örneğin: Login.aspx Altında Login.aspx.cs Bulunmaktadır. Burada Belirtiniz.

Önemli Bir Bilgi : Web Sitesini Oluşturduktan sonra Kesinlikle Program Üzerinde Derleme Yapıp .dll Dosyaları Haline Getirin..

" ASP.Net Candır. "
 
Türkiye’nin ilk webmaster forum sitesi iyinet.com'da forum üyeleri tarafından yapılan tüm paylaşımlardan; Türk Ceza Kanunu’nun 20. Maddesinin, 5651 Sayılı Kanununun 4. maddesinin 2. fıkrasına göre, paylaşım yapan üyeler sorumludur. iyinet.com sayfalarında yer alan yazı, görsel ve linklerle ilgili hukuki şikayetleriniz için Buradan iletişime geçmeniz durumunda, ilgili kanunlar ve yönetmelikler çerçevesinde en geç 7 gün içerisinde iyinet yönetimince tarafınıza dönüş sağlanacaktır. Betcup Artemisbet
Üst