[CreaNext]

Alıntı:

ErincKuzu tarafından gönderilen mesaj:

Ben bir ASP,ASP.NET yazılımcısı olsamda asla ASP ile yazılımış bir uygulamayı kolay kolay satın almam malumunuz bill amcanın bıraktığı güvenlik açıkları .NET olsa gerçekten yüksek fiyatlara satın alabilirsin.

Yazılımın ne kadar profesyonelce olduğunu?
Set Rs = server.CreateObject("")

Dedikten sonra onu açık bırakmak mesela büyük bir yük getirir sunucuya.
100 kişinn aynı anda o sayfada Rs oluşturduğunu ve max 20 dakkika oluşan Objelerin server tarafında svchostta açık kaldığını işlemcinn %0,3 remin %0,10 dan çaldığını bi düşün?

Ayrıca Veritabanı tablolarınn yapısı büyük sorgularda bile anında cevap verebilecekmi yada datalar arttıktan sonra sistem Connection TimeOut mu olucak?

ya ASP & mssql ile alışveriş sitesi yapıyorum kardeş iştahımı kaçırdın valla ben baya bi güvenlik önlemi aldımda sen bu kadar detaylı bildiğine göre bize ASP de güvenliği artırmamız için bildiklerini paylaşmana sevinirim.

[eKuzu]

Alıntı:

daha haberdar olmadığı açıklardan işi satışa sunduktan sonra nasıl korunabilir ki?

Ozaman script yazıpta pazarlamaya kalkamayacak insan güvenemediğin yazılımından para kazansan bile elbet bir süre sonra oluşan hatalar sana geri dönücek şahsen şöyle bir tavsiyede bulunabilirim oluşan hata ve açıkların anında kontrol ve bildirimi için.

<%
if Err<>0 Then
...(Admine sayfa,err line,err desc mail gönder.)
End If
%>

Her sayfanın sonuna bir include yaparsın ve görebilirsin hataları anında müdahale edebilirsin.
7 seneye yakın ms application language ile uğraşıyorum fakat daha ASP ile e-ticaret sitesi yapacak kadar hala güvenmiyorum kendime ASP.NET olsa güvelik sorunları minimum derece olabilir.
Neyse uzun lafın kısası bende ASP ile yazılmış bir sisteme kolay kolay güvenmem ama tabiki o programcılığa bağlı.

[eKuzu]

Alıntı:

CreaNext tarafından gönderilen mesaj:

ya ASP & mssql ile alışveriş sitesi yapıyorum kardeş iştahımı kaçırdın valla ben baya bi güvenlik önlemi aldımda sen bu kadar detaylı bildiğine göre bize ASP de güvenliği artırmamız için bildiklerini paylaşmana sevinirim.

@CreaNext Valla hocam yanlış anlamayın beni ama her önüne gelen script yazıp pazarlamaya kalkıyor ki lafım meclisden dışarı emred yanlış anlama sakın beni önemli olan scriptin fonksiyonelliği değil bana göre güvenliğidir scriptin dağları aşsın biri gelip o dağları yıkarsa ozaman hiç bir özelliği kalmaz. Şöyle bir DLL mantığı hazırlamayı düşünüyordum ben güvenlik için tabi her uygulamada değişik bir dll hazırlamak zorunda kalıcaksınız belki bir otomasyonada bağlanabilir.

Request.ServerVariables("QUERY_STRING") i alarak
içersinde zararlı bir cümle veya int olarak belirlediğiniz Queryleri numeric olup olmadığını kontrol ettirebilirsiniz.
Eğerki varsa ortak bir Error.ASP sayfası oluşturursunuz ve yönlendirme yaparsınız çoğu site SQL Injection (Microsoft Fransa en güzel örneği) ile deactive ediliyor. Mesela her linkte RandomizeID üretip gelen sayfayla her defasından tanımlanmış Session("RandomizeID") kontrolü yapılmalıdır.
Ama tabiki win uygulaması yazılarak RandomizeID'ninde üstünden gelinebilir ürettiğiniz Mantığa bağlı
Örnek bir ID ele alalım. 8 Karakterli olsun
ilk 4 karakter Numeric 5. Karakter Harf veya vs. 6-8 karakter yani 3 karkter ise Karışık olsun.

// Link.ASP
<%
RandmizeID = 9583a3Xs
Session("RequestID") = RandmizeID
%>
<a href="Security.ASP?RequestId=<%=MD5(RandmizeID )%>"></a>

<%
'-----Security.ASP

'ilk 4 karakteri
If isNumeric(MID(RequestID,1,4)) = False Then
Response.Redirect("Error.ASP")
End If
'----------------
ilk Queryden gelen karakterlerin Uzunluğu belirlediğiniz kadarmı?
If Len(RequestId)<>8 Then
Response.Redirect("Error.ASP")
End If
'----------------
If MD5(Session("RandomizeID")) <> RequestID Then
Response.Redirect("Error.ASP")
End If

%>

En basit güvenlik örneği mesela.
Düşündüğüm DLL'i yazarsam tabiki sizinle paylaşıcam.

[CreaNext]

Alıntı:

Request.ServerVariables("QUERY_STRING") i alarak
içersinde zararlı bir cümle veya int olarak belirlediğiniz Queryleri numeric olup olmadığını kontrol ettirebilirsiniz.

kardeş ne diyim DLL ini bekliyorum..

[tesera]

Alıntı:

CreaNext tarafından gönderilen mesaj:

ya ASP & mssql ile alışveriş sitesi yapıyorum kardeş iştahımı kaçırdın valla ben baya bi güvenlik önlemi aldımda sen bu kadar detaylı bildiğine göre bize ASP de güvenliği artırmamız için bildiklerini paylaşmana sevinirim.

Eğer o kadar kendinize güvenmiyorsanız hiç yazmayın.

ASP ile hazırlanmış E-ticaret siteleri

http://www.ideefixe.com
http://www.estore.com.tr
http://www.yalcinlar.com.tr
http://www.indexpazar.com
http://www.aydinlarfoto.com
http://www.alalimsatalim.com

Daha yakına kadar

http://www.hepsiburada.com
http://www.bidolu.com

[eKuzu]

http://www.aydinlarfoto.com
http://www.aydinlarfoto.com/tm/departments.ASP?category_id=003':Response.End()

http://www.alalimsatalim.com
http://www.alalimsatalim.com/display...107017%20UNION ...

http://www.indexpazar.com/
http://www.indexpazar.com/menu.asp

http://www.ideefixe.com
http://www.ideefixe.com/video/tanim.ASP?sid=PB106OIOEH1HRIZ40BFB'%20or%201='1

www.estore.com.tr
http://www.estore.com.tr/product.ASP?sku=EK05061'%20or%201='1&dept%5Fid=900 00000&bid=&mscssid=5JFK9R90KKVU8MTEQUVDDK9Q%20A88E 97K6

www.estore.com.tr da hata oluşuyor fakat kendi yazdıkları Hata Sayfalarına yönlendiriliyor tablo ismini çözsen veritabanını ortadan kaldırabilirsin yani en önemlisi ' karakteri ASP de her yerde Convert edin çok tehlikeli SQL için

ve ASP hala çok güvensiz...

[CreaNext]

Alıntı:

tesera tarafından gönderilen mesaj:

Eğer o kadar kendinize güvenmiyorsanız hiç yazmayın.

yanlış yerden alıntı yaptın heralde. ben kendime güveniyorum sadece güvenlik adına yapabileceğimin fazlasını arıyorum. daha yazılanları okumadan öylesine yazmanın manası yok...

bu arada biz ASP den bahsediyoruz.. http://www.hepsiburada.com
http://www.bidolu.com bu siteler aspx...

[tesera]

Alıntı:

CreaNext tarafından gönderilen mesaj:

yanlış yerden alıntı yaptın heralde. ben kendime güveniyorum sadece güvenlik adına yapabileceğimin fazlasını arıyorum. daha yazılanları okumadan öylesine yazmanın manası yok...

bu arada biz ASP den bahsediyoruz.. http://www.hepsiburada.com
http://www.bidolu.com bu siteler aspx...

daha yakına kadar diye belirtmiştim gözünüzden kaçmış ASP.net olduğunu bende biliyorum.

Alıntı:

ErincKuzu tarafından gönderilen mesaj:

http://www.aydinlarfoto.com
http://www.aydinlarfoto.com/tm/departments.ASP?category_id=003':Response.End()

http://www.alalimsatalim.com
http://www.alalimsatalim.com/display...107017%20UNION ...

http://www.indexpazar.com/
http://www.indexpazar.com/menu.asp

http://www.ideefixe.com
http://www.ideefixe.com/video/tanim.ASP?sid=PB106OIOEH1HRIZ40BFB'%20or%201='1

www.estore.com.tr
http://www.estore.com.tr/product.ASP?sku=EK05061'%20or%201='1&dept%5Fid=900 00000&bid=&mscssid=5JFK9R90KKVU8MTEQUVDDK9Q%20A88E 97K6

www.estore.com.tr da hata oluşuyor fakat kendi yazdıkları Hata Sayfalarına yönlendiriliyor tablo ismini çözsen veritabanını ortadan kaldırabilirsin yani en önemlisi ' karakteri ASP de her yerde Convert edin çok tehlikeli SQL için

ASP hala çok güvensiz...

Bu sitelere hata verdirmeniz hiçbirşey ifade etmez. Bana bir tane güvenlik açığı gösterebilirmisiniz. Google a bile hata verdirebilirsiniz ama bu Google un yazıldığı dil güvensiz anlamına gelmez..

[eKuzu]

@tesera

Alıntı:

Bana bir tane güvenlik açığı gösterebilirmisiniz.

Veritabanın anında silinebilir yoksa bu sana göre güvenlik açığı değilmi o sitelerdeki tüm datalar excele aktarılabilir basit bir SQL Injection ile yada dataları tabloları başka bir servera kopyalana bilir.
He bunlar sana göre açık değilse tesera ozaman bilmem haklısın.
Ayrıca Google yazdığı dile değil oluşturduğu yapay zekalara dikkat eder ve Google gibi yapının yani temelleri web üzerine kurulu dünyanın en değerli isimlerinden biri olan Google ' a kolay kolay hiç birşey olmaz şimdi microsoftu örnek veren olursa diye baştan söyliyim terzi kendi söküğünü dikemezmiş eskiden Hotmail.com da js cookie yedirip hesaplara giriliyordu sonra aspx oldu tabi.

[tesera]

Alıntı:

ErincKuzu tarafından gönderilen mesaj:

@tesera

Veritabanın anında silinebilir yoksa bu sana göre güvenlik açığı değilmi o sitelerdeki tüm datalar excele aktarılabilir basit bir SQL Injection ile yada dataları tabloları başka bir servera kopyalana bilir.
He bunlar sana göre açık değilse tesera ozaman bilmem haklısın.

Bu sitelerin bir tanesinde de dediğiniz gibi kritik bir güvenlik açığı ( Sistemi etkileyecek ) varsa ispatlayın bende size hak vereyim.