http://www.huysuzadam.com Web teknolojileri ile ilgili teknik bir blog... Fri, 12 Feb 2010 07:24:13 +0000 http://wordpress.org/?v=2.9.2 en hourly 1 http://www.huysuzadam.com/2007/10/08/web-sitelerindeki-en-yaygin-guvenlik-aciklari/ http://www.huysuzadam.com/2007/10/08/web-sitelerindeki-en-yaygin-guvenlik-aciklari/#comments Sun, 07 Oct 2007 23:00:51 +0000 M.Ozan Hazer http://www.huysuzadam.com/2007/10/08/web-sitelerindeki-en-yaygin-guvenlik-aciklari/ En çok rastlanan güvenlik açıklarına bir göz atalım:

1. SQL Injection
   SQL cümlesi içerisine parametre olarak gönderilen değişkenin saldırgan tarafından değiştirilerek gönderilmesiyle oluşan açıktır.
2. Session Fixation
   O an siteye giriş yapmış ziyaretçinin session id’sini bir şekilde alarak ziyaretçinin aktif session’ından yararlanma felsefesine dayalı bir güvenlik açığıdır.
3. Session Poisoning
   Programcının gönderilen parametreleri kontrolsüz bir şekilde session değişkenlerine ataması nedeniyle oluşan açıktır.
4. XSS (Cross Site Scripting)
   Saldırganın sayfaya bir açıktan yararlanarak javascript, css, html kodu yazabilmesi nedeniyle oluşan açıktır.
5. XSRF (Cross Site Request Forgery)
   Saldırganın o an siteye giriş yapmış ziyaretçiye farkında olmadan istediği aksiyonu yaptırması ile ilgili bir güvenlik açığıdır.
6. RFI (Remote File Inclusion) ve LFI (Local File Inclusion)
   Programcının gönderilen parametreleri kontrolsüz bir şekilde çalışan koda “include” etmesi nedeniyle oluşan bir güvenlik açığıdır.
7. Referrer Spoofing
   HTTP_REFERER ziyaretçinin bir önce ziyaret ettiği sayfayı tutan bir environment değişkenidir. Ancak bu değişken istemci tarafından gönderildiği için bu değişkene dayanarak yapılan güvenlik kontrolleri kolayca aşılabilir.

]]> http://www.huysuzadam.com/2007/10/08/web-sitelerindeki-en-yaygin-guvenlik-aciklari/feed/ 2