Oturum a�

Select the product you need help with

Siteler aras� komut dosyas� �al��t�rma g�venlik sorunlar�n� �nleme hakk�nda

Makale numaras�: 252985 - Bu makalenin ge�erli oldu�u �r�nleri g�r�n.

Otomatik terc�me makalelerin ne oldu�unu a��klayan yaz�y� okumak i�in buraya t�klay�n

�ngilizce ve T�rk�e'yi yan yana g�r�nt�leme

Buraya t�klayarak �ngilizce ve T�rk�e'yi yan yana g�r�nt�leyebilirsiniz.

Duyuru

Bu makalede, Windows 2000 i�in ge�erlidir. 13 Temmuz 2010 �zerinde Windows 2000 Destek sonland�r�yor.Windows 2000 End-of-Support Solution Center

(http://support.microsoft.com/?scid=http%3a%2f%2fsupport.microsoft.com%2fwin2000)

, Windows 2000'den ge�i� stratejisini planlama bir ba�lang�� noktas�d�r. Daha fazla bilgi i�in Microsoft Support Lifecycle Policy

(http://support.microsoft.com/lifecycle/)

"konusuna bak�n.

Hepsini a� | Hepsini kapa

Dinamik olarak olu�turulan HTML sayfalar�n�, bi�imi �zerinde veya d��nda �ekilde girdileri do�ruland��, g�venlik risklerine neden olabilir. K�t� ama�l� komut dosyas�, Web sayfalar�na g�nderilir ve taray�c�lara, g�venilir bir kaynaktan g�nderilmi� gibi g�r�nen bir giri� i�inde kat��t�r�labilir. Bu sorun, bir siteler aras� komut dosyas� �al��t�rma g�venlik sorunu an�l�r. Bu makalede, siteler aras� komut dosyas� �al��t�rma g�venlik sorunlar�, sonu�lar� ve engelleme anlat�l�r.

�ste | Geri Bildirim Ver

Daha fazla bilgi

Sorunu

Bir�ok Web sayfas� de�il do�rulanaca��n� giri� g�r�nt�lemesini temel sorundur. Giri� ge�erlili�i, k�t� ama�l� komut dosyas� i�inde giri� kat��t�r�labilir. Sunucu taraf�nda �al��an bir komut dosyas�, daha sonra bu olmayan ge�erlili�i giri� g�r�nt�ler, ancak g�venilen site taraf�ndan olu�turulan gibi komut dosyas� taray�c�da �al��r.

Sonu�lar�

Dinamik Web sayfalar�n�z� giri� ge�erlili�i, a�a��daki sorunlarla kar��la�abilirsiniz:

Veri b�t�nl��n� tehlikeye girebilir.
Tan�mlama bilgilerini ayarlama okuyun ve.
Kullan�c� giri�i ele ge�irilebilir.
Istemcinin g�venilir bir kaynaktan ba�lam�nda k�t� ama�l� komut dosyalar� �al��t�r�l�r.

Hangi Web sayfalar�n� bu a��ktan etkilenebilir mi? Asl�nda, sorun de�il do�ruland� giri�te g�re dinamik sayfa olu�turma etkiler. A�a��daki t�r Web sayfalar� tipik �rnekler:

Sonu�lar� sayfalar� geri arama alt yap�lar�, kullan�c� giri�ini temel.
Kullan�c� hesaplar� veritabanlar�, tan�mlama bilgileri ve benzeri depolar ve kullan�c� ad� istemciye sonradan yazma oturum a�ma sayfalar�.
Kredi kart� bilgileri i�leyen web formlar�.

�nleme

Bu b�l�m, siteler aras� komut dosyas� �al��t�rma g�venlik sald�r�lar� �nleme birka� yakla��m sunar. Hangi teknikleri sizin i�in en iyi �al��acak belirlemek i�in kendi �zel ko�ullar�n�za de�erlendirin. T�m teknikler, giri� ve sizin g�venilir kod ald��n�z veri do�rulama oldu�unu dikkate almak �nemlidir. Asl�nda, engelleme, giri�inizi, yordamlar i�in sa�laml�k denetimi'ni �al��t�rarak yararl� kodlama izleyin anlam�na gelir.

A�a��daki listede, siteler aras� komut dosyas� sald�r�lar� �nlemek i�in bir genel yakla��mdan �nerilmektedir:

Giri� parametreleri temel al�narak ��k�� kodlay�n.
Giri� parametreleri i�in �zel karakterler</a1> filtre uygulay�n.
Giri� parametreleri i�in �zel karakterler g�re s�zge� ��k��.

Filtre uygulama veya kodlar, filtrenizin i�in uygun �zel karakterleri denetliyor emin olmak Web sayfalar�n�z i�in bir karakter belirtmeniz gerekir. Web sayfalar�n�za eklenen veriler �zerinde belirli bir karakter k�mesini temel alan �zel kabul edilen byte serilerini filtre. Pop�ler bir karakter k�mesi, HTML ve HTTP �nceki s�r�mlerinde varsay�lan oldu�u ISO 8859-1 olur. Bu parametreler de�i�tirdi�inizde hesap Yerelle�tirme sorunlar� alman�z gerekir.

Giri� parametreleri i�in �zel karakterlerin ba�l� ��kt� kodla

Size, HTML olarak yazd��n�zda giri� olarak al�nan veriler kodlay�n. Bu teknik, herhangi bir nedenle do�rulanmad�, Giri� s�ras�nda veriler �zerinde etkilidir. URLEncodeHTMLEncode gibi teknikleri kullanarak, k�t� ama�l� kod y�r�t�lmesini engelleyebilirsiniz.

A�a��daki kod par�ac�klar� URLEncode ve HTMLEncode Active Server Pages (ASP) sayfalar�ndan nas�l kullan�laca�� g�sterilmektedir:

<%
      var BaseURL = http://www.mysite.com/search2.asp?searchagain=;
      Response.write("<a href=\"" + BaseUrl +
      Server.URLEncode(Request.QueryString("SearchString")) +
      "\">click-me</a>");
%>
<% Response.Write("Hello visitor <I>" +
      Server.HTMLEncode(Request.Form("UserName")) +
      "</I>");
%>

, URL'ler ve HTML kodlama, verileri s�zmek i�in olsayd�, gibi kod sayfas�n� belirtmeniz gerekebilir.

Bu dize �zerinde HTMLEncode arama hakk�nda gelen y�r�t�lmekte olan komut dosyalar� da g�r�nt�lenmesini engeller oldu�unu unutmay�n ve bu nedenle, sorunu engeller.

Giri� parametreleri �zel karakterler i�in s�zme

S�zme giri� giri�inizi baz� veya t�m �zel karakterler kald�rarak �al��r. Karakterler, komut dosyas� i�inde bir HTML ak��na olu�turulmas�na olanak veren �zel karakterlerdir. �zel karakterler �unlard�r:

< > " ' % ; ) ( & + -

Not tek tek durumunuza ek karakterler veya �zel karakterler d��nda dizeleri s�zme eri�medi�ini.

S�zme etkili bir y�ntem ise, birka� uyar�lar vard�r:

S�zme baz� giri� i�in uygun olmayabilir. �rne�in, bir HTML formundan <text>Giri� g�r�nt�leniyor senaryolarda kodlama (a�a��ya bak�n) gibi bir y�ntem yerine se�ebilirsiniz.
S�z�lm�� baz� karakterler, ger�ekte sunucu taraf�nda �al��an komut dosyas� i�in gerekli bir girdi olabilir.

JavaScript'i yaz�l�r, a�a��daki �rnek s�zge�, �zel karakterleri kald�rmak g�sterilmi�tir:

function RemoveBad(strTemp) { 
    strTemp = strTemp.replace(/\<|\>|\"|\'|\%|\;|\(|\)|\&|\+|\-/g,""); 
    return strTemp;
}

a�a��daki kod, daha sonra kullanmak �zere depolamadan �nce kullan�c� giri�ini i�leme.

<% Session("StoredPreference") = RemoveBad(Request.Cookies("UserColor"));
         var TempStr = RemoveBad(Request.QueryString("UserName"));

Giri� parametreleri i�in �zel karakterler g�re s�zge� ��k��

Bu teknik, istemciye yaz�lan karakterler s�zge� d��nda giri� s�zme benzer. Bu etkin bir y�ntem ise, bu sorun d��nda HTML ��elerini yazmak, Web sayfalar� i�in var.

�zel karakterleri kald�ran bir genel i�levi <TABLE>��eler d��nda yazan bir sayfada, kald?rmak < ve > <TABLE>etiketi ruins karakter. Bu nedenle, bu y�ntem yararl� i�in s�rada, yaln�zca ge�irilen bir veri ya da daha �nce bir kullan�c�n�n girdi�i ve veritaban�nda depolanan verileri filtre.

Olas� k�t� ama�l� bir veri kaynaklar�

Sorun dinamik olarak HTML olu�turmak i�in giri� kullanan herhangi bir sayfa i�in ge�erlidir, ancak olas� g�venlik riskleri i�in nokta onay yard�mc� olmak i�in k�t� ama�l� bir veri olas� baz� kaynaklar� �unlard�r:

Sorgu dizesi
Cookies
Deftere nakledilen veri
URL ve PATH_INFO gibi URL'lerin par�a
Bir veritaban� gibi baz� bi�imde kal�c�d�r ve kullan�c�lardan al�nan verileri

Sonu�

Conclusion, siteler aras� komut dosyas� �al��t�rma g�venlik sorununa an�msanmas� anahtar noktalar� �unlard�r:

Sorun de�il do�ruland� giri�te g�re dinamik sayfa olu�turma etkiler.
Giri� verileri bir sa�laml�k denetimi atland��n� olabilir beklenmeyen g�venlik �zerinde etkileri. Giri� do�rulamas� gibi iyi geli�tirme standartlar arac�l��yla preventable sorunu var.
�zerinde ��z�mleri de�erlendirmek gereksinim duydu�unuz bir site ba��na sayfa, alan i�in ayr� ayr� bile ve anlaml� bir teknik kullan�r.

�ste | Geri Bildirim Ver

Referanslar

Daha fazla bilgi i�in a�a��daki gelen Computer Acil Durum yan�t ekibi (CERT) Carnegie Mellon University'deki dan��ma belgesine bak�n:

http://www.cert.org/advisories/CA-2000-02.html

(http://www.cert.org/advisories/CA-2000-02.html)

Daha fazla bilgi i�in, Microsoft Bilgi Bankas�'ndaki makaleleri g�r�nt�lemek �zere a�a��daki makale numaralar�n� t�klat�n:

253117

(http://support.microsoft.com/kb/253117/ )

Engelleme �nternet Explorer ve Outlook Express'i komut dosyas� �al��t�rma g�venlik sorunlar� siteler aras�

253119

(http://support.microsoft.com/kb/253119/ )

ASP kodu CSSI güvenlik aç�� için g�zden ge�ir nas�l

253120

(http://support.microsoft.com/kb/253120/ )

Visual �nterdev g�zden ge�irmek nas�l generated CSSI güvenlik aç�� için

253121

(http://support.microsoft.com/kb/253121/ )

Nas�l yap�l�r: MTS/ASP kodu CSSI güvenlik aç�� için g�zden ge�irin.

�ste | Geri Bildirim Ver

�zellikler

Makale numaras�: 252985 - Son G�zden Ge�irme: 01 Mart 2006 �ar�amba - G�zden ge�irme: 3.6

Bu makaledeki bilginin uyguland�� durum:

Microsoft Active Server Pages 2.0
Microsoft Active Server Pages 3.0
Microsoft Windows 2000 Server

kbmt kbcodesnippet kbcssi kbhowto kbsecurity KB252985 KbMttr

Otomatik Terc�me

�NEML�: Bu makale, bir ki�i taraf�ndan �evrilmek yerine, Microsoft makine-�evirisi yaz�l�m� ile �evrilmi�tir. Microsoft size hem ki�iler taraf�ndan �evrilmi�, hem de makine-�evrisi ile �evrilmi� makaleler sunar. B�ylelikle, bilgi bankam�zdaki t�m makalelere, kendi dilinizde ula�m�� olursunuz. Bununla birlikte, makine taraf�ndan �evrilmi� makaleler m�kemmel de�ildir. Bir yabanc�n�n sizin dilinizde konu�urken yapabilece�i hatalar gibi, makale; kelime da�arc��, s�z dizim kurallar� veya dil bilgisi a��s�ndan yanl��lar i�erebilir. Microsoft, i�eri�in yanl�� evrimi veya onun m��teri taraf�ndan kullan�m�ndan do�an; kusur, hata veya zarardan sorumlu de�ildir. Microsoft ayr�ca makine �evirisi yaz�l�m�n� s�k�a g�ncellemektedir.

Makalenin �ngilizcesi a�a��daki gibidir:252985

(http://support.microsoft.com/kb/252985/en-us/ )

�ste | Geri Bildirim Ver

Geri Bildirim Ver

�ste

Makale �evirileri

United States (English)

Select the product you need help with

Siteler aras� komut dosyas� �al��t�rma g�venlik sorunlar�n� �nleme hakk�nda

Duyuru

Bu Sayfada

�zet

Daha fazla bilgi

Sorunu

Sonu�lar�

�nleme

Giri� parametreleri i�in �zel karakterlerin ba�l� ��kt� kodla

Giri� parametreleri �zel karakterler i�in s�zme

Giri� parametreleri i�in �zel karakterler g�re s�zge� ��k��

Olas� k�t� ama�l� bir veri kaynaklar�

Sonu�

Referanslar

�zellikler

Bu makaledeki bilginin uyguland�� durum:

Anahtar Kelimeler:�

Geri Bildirim Ver

Makale �evirileri

Select the product you need help with

Siteler aras� komut dosyas� �al��t�rma g�venlik sorunlar�n� �nleme hakk�nda

Duyuru

Bu Sayfada

�zet

Daha fazla bilgi

Sorunu

Sonu�lar�

�nleme

Giri� parametreleri i�in �zel karakterlerin ba�l� ��kt� kodla

Giri� parametreleri �zel karakterler i�in s�zme

Giri� parametreleri i�in �zel karakterler g�re s�zge� ��k��

Olas� k�t� ama�l� bir veri kaynaklar�

Sonu�

Referanslar

�zellikler

Bu makaledeki bilginin uyguland��� durum:

Anahtar Kelimeler:�

Geri Bildirim Ver

Makale �evirileri

Bu makaledeki bilginin uyguland�� durum: