Makale numaras�: 253121 - Son G�zden Ge�irme: 26 May�s 2005 Per�embe - G�zden ge�irme: 2.0

Nas�l yap�l�r: MTS/ASP kodu CSSI güvenlik aç�� için g�zden ge�irin.

�ngilizce ve T�rk�e'yi yan yana g�r�nt�leme

Buraya t�klayarak �ngilizce ve T�rk�e'yi yan yana g�r�nt�leyebilirsiniz.

Otomatik terc�me makalelerin ne oldu�unu a��klayan yaz�y� okumak i�in buraya t�klay�n

Kullan�m D�� Bilgi Bankas� ��eri�i Yasal Uyar�

Bu makalenin ge�erli oldu�u �r�nleri g�r�n.

Sistem �pucuBu makale, kulland��n�zdan farkl� bir i�letim sistemine y�neliktir. Sizinle ilgili olmayabilecek makale i�eri�i devre d�� b�rak�ld�.

Hepsini a� | Hepsini kapa

�zet

Bu makalede, nas�l belirlenece�i ve siteler aras� komut dosyas� �al��t�rma g�venlik sorunlar� (CSSI) i�in a��k olan Microsoft Transaction Server/Active Server Pages (ASP) uygulamalar� d�zeltin. Do�ru ge�erlili�i bi�imlendirilmi� veya yaln�zca bir giri� uygulaman�z ger�ekle�tirilen sald�r�lara kar�� savunmas�z hale getirir.

�ste

Daha fazla bilgi

Bu nedenle, sunu katmandan en iyi tackled CSSI sorunlar� bir uygulama, bi�imlendirme, <a0>veri do�rulama ve</a0> i�leme bi�iminde yer alan.

Bu katman genellikle, ASP sayfalar�n�n olu�ur ve zaman zaman, i�inde g�r�nt�lemek i�in HTML ASP sayfas�n�n i�lenmesinde yard�mc� olan baz� bile�enler i�erebilir.

Ikinci durumda, uygulama kendisini CSSI yaln�zca ASP uygulama olarak korumak i�in ayn� i�lemleri ger�ekle�tirmelisiniz olsa da, fiziksel uygulamas� baz� ASP sayfalar�nda �al��t�rmak i�in do�rulama ve bi�imlendirmeleri kod ve baz� bile�enindeki olu�turaca��n� unutmay�n �nemlidir. CSSI ve ASP hakk�nda ayr�nt�l� bilgi i�in l�tfen a�a��daki Microsoft Knowledge Base makalesine bak�n:

253119� (http://support.microsoft.com/kb/253119/ ) ASP kodu CSSI güvenlik aç�� için g�zden ge�ir nas�l

A�a��daki ad�mlar� belirlemek ve ASP uygulamalar� i�in CSSI a��k d�zeltmek yard�mc� olur:

ASP veya bile�en g�r�nt�lenecek HTML olu�turur ve kod. Iki genel senaryoyu vard�r:
- Bile�en olu�turur ve ASP do�rudan yan�t yazacak bir HTML dizesi d�nd�r�r.
- Bile�en, dahili olarak sayfaya do�rudan yazmak i�in Response.Write �a��r�r. Genellikle yan�t nesne ba�vurusu ObjectContext GetObjectContext.Item("Response") �a??rarak elde edilir.
HTML ��k��'n�n uygulama verilerini i�erip i�ermeyece�ini belirler. Bu veri kaynaklar�, veritabanlar�, <a2>Dosya</a2>, <a4>tan�mlama bilgileri gibi �e�itli di�er nesne de�i�kenleri gelir ve benzeri.
Bir uygun ��z�m� belirleyin. ASP veya bile�en bulunan HTML kullanarak olu�turdu�u kodu baz� �zel uygulaman�z i�in uygun bir ��z�m belirlemek giri�i,. ��z�mler i�erir (ancak bunlarla s�n�rl� de�ildir) ge�ersiz veri do�rulama/s�zme veya onu kodlama.

Bi�imlendirme kurallar�

Bu y�nergelere uygun bi�imlendirme hissediyorsan�z yeri belirlemenize yard�mc� olur.

Bir sayfaya yaz�l�rken bilgi, belirli bir uygulama veri HTMLEncoded olmas� gerekir. Bu �ok HTMLEncode HTML sayfas� sona erdirmek i�in haz�rlanm�� etiketleri �nemli de�ildir. Bu nedenle, bile�en i�levlerinizi HTML d�nerseniz, the HTMLEncode i�inde yap�lmas� gerekir.

HTMLEncode i�in bir dize gelen bir bile�en, ASP sunucu nesnesine bir ba�vuru gerekir. Bu ba�vuru MTS ObjectContext.Items toplulu�undan al�n:

sGoodHTML = GetObjectContext.Item("Server").HTMLEncode(sRawData)

�rnek: Bu kod, bir recordset al�nm�� de�erlerle tablo sat�rlar� olu�turur. Bu kod ��kt� kodla:

Do While Not oRecordset.EOF
     sHTML = sHTML & "<TR>" 
     sHTML = sHTML & "<TD>" & oRecordset("FirstName") & "</TD>"
     sHTML = sHTML & "<TD>" & oRecordset("Address") & "</TD>"
     sHTML = sHTML & "</TR>" 
Loop

bu kodu sabit oldu�unda, kendilerini de�erleri t�m HTML dizeyi yerine HTMLEncoded unutmay�n:

Dim oServer As ASPTypeLibrary.Server

Set oServer = GetObjectContext.Item("Server")

Do While Not oRecordset.EOF
     sHTML = sHTML & "<TR>" 
     sHTML = sHTML & "<TD>" & oServer.HTMLEncode( oRecordset("FirstName")) & "</TD>"
     sHTML = sHTML & "<TD>" & oServer.HTMLEncode( oRecordset("Address")) & "</TD>"
     sHTML = sHTML & "</TR>" 
Loop

Set oServer = Nothing

Ara oServer nesne ba�vurusu kullan�m�na dikkat edin. Bu �zellik, erken ba�lama olanaklar�ndan yararlanacak �ekilde ve her zaman ObjectContext.Item arama ��zme �nlemek i�in eklenmi�tir. Bir nesne olarak ASPTypeLibrary.Server bildirmek i�in <a0></a0>, "Microsoft Active Server Pages Nesne Kitapl��'na.", bir ba�vuru i�ermelidir.

L�tfen, a�a��daki y�nergeleri dikkate al�n:

I�letme bile�enleri HTMLEncode �a��rmal�s�n�z (bunlar da HTML i�leme s�rece) de�il. Bu, sunu katman� bir g�revdir.
Genellikle, bile�enleri HTMLEncode veya ASP nesnelerine birini kullanarak �nternet �nformation Server (IIS) ayn� bilgisayarda fiziksel olarak �al��t�rmal�s�n�z.
��z�mler i�erir (ancak bunlarla s�n�rl� de�ildir) giri� parametreleri do�rulama ve bi�imlendirme Giri� parametreleri.

�ste

Referanslar

Daha fazla bilgi i�in a�a��daki gelen Computer Acil Durum yan�t ekibi (CERT) Carnegie Mellon University'deki dan��ma belgesine bak�n:

http://www.cert.org/advisories/CA-2000-02.html (http://www.cert.org/advisories/CA-2000-02.html)

Daha fazla bilgi i�in, Microsoft Bilgi Bankas�'ndaki makaleleri g�r�nt�lemek �zere a�a��daki makale numaralar�n� t�klat�n:

252985� (http://support.microsoft.com/kb/252985/ ) Siteler aras� komut dosyas� g�venlik konular�, Web uygulamalar� i�in engelleme

253120� (http://support.microsoft.com/kb/253120/ ) Visual �nterdev g�zden ge�irmek nas�l generated CSSI güvenlik aç�� için

253117� (http://support.microsoft.com/kb/253117/ ) Nas�l yap�l�r: �nternet Explorer ve Outlook Express'i CSSI G�venlik A��'n� engelle

�ste

Bu makaledeki bilginin uyguland�� durum:

Microsoft Transaction Services 2.0

�ste

kbmt kbcssi kbhowto KB253121 KbMttr

�ste

Otomatik Terc�me

�NEML�: Bu makale, bir ki�i taraf�ndan �evrilmek yerine, Microsoft makine-�evirisi yaz�l�m� ile �evrilmi�tir. Microsoft size hem ki�iler taraf�ndan �evrilmi�, hem de makine-�evrisi ile �evrilmi� makaleler sunar. B�ylelikle, bilgi bankam�zdaki t�m makalelere, kendi dilinizde ula�m�� olursunuz. Bununla birlikte, makine taraf�ndan �evrilmi� makaleler m�kemmel de�ildir. Bir yabanc�n�n sizin dilinizde konu�urken yapabilece�i hatalar gibi, makale; kelime da�arc��, s�z dizim kurallar� veya dil bilgisi a��s�ndan yanl��lar i�erebilir. Microsoft, i�eri�in yanl�� evrimi veya onun m��teri taraf�ndan kullan�m�ndan do�an; kusur, hata veya zarardan sorumlu de�ildir. Microsoft ayr�ca makine �evirisi yaz�l�m�n� s�k�a g�ncellemektedir.

Makalenin �ngilizcesi a�a��daki gibidir:253121� (http://support.microsoft.com/kb/253121/en-us/ )

�ste

Kullan�m D�� Bilgi Bankas� ��eri�i Yasal Uyar�

Bu makale, Microsoft'un art�k destek sa�lamad�� r�nler ile ilgili olarak yaz�lm��t�r. Bu nedenle, bu makale "oldu�u gibi" sa�lanm��t�r ve bundan sonra g�ncelle�tirilmeyecektir.

�ste

This site in other countries/regions:

Nas�l yap�l�r: MTS/ASP kodu CSSI güvenlik aç�� için g�zden ge�irin.

�zet

Daha fazla bilgi

Bi�imlendirme kurallar�

Referanslar

Bu makaledeki bilginin uyguland�� durum:

Anahtar Kelimeler:�

Di�er Destek Siteleri

Topluluk

Makale �evirileri

This site in other countries/regions:

Nas�l yap�l�r: MTS/ASP kodu CSSI güvenlik aç�� � � için g�zden ge�irin.

�zet

Daha fazla bilgi

Bi�imlendirme kurallar�

Referanslar

Bu makaledeki bilginin uyguland��� durum:

Anahtar Kelimeler:�

Di�er Destek Siteleri

Topluluk

Makale �evirileri

Nas�l yap�l�r: MTS/ASP kodu CSSI güvenlik aç�� için g�zden ge�irin.

Bu makaledeki bilginin uyguland�� durum: