Vbasic Ile Web Programlama Guvenlik Dersi

26-09-2019, 01:44:02

#1
Yeisehabe

Açık Profil bilgileri

Özel Mesaj Gönder

Yeisehabe tarafından gönderilen tüm mesajları bul

Yeisehabe'ı arkadaş olarak ekle

Diamond
S.a Arkadaşlar.

Bircok Kişi, Vbasic Ile Web Tabanlı Bir Proram Yazmamıştır. Geneldede Tercih Edilmez. Fakat Vbasic İle Web Tabanlı Programlar Yazmak Cok Zevkli Ve Bastir. Ben Şimdi Sizlere Hem Asp, Hem Php Dillerinde Kullanabileceğinz, Modulleri Vbasic İle Nasıl Yazacağınızı Gostereceğim...

Bu Yazacağımız/Hazırlayacağımız Modulleri Sadece Web Sitelerimizde Değil, Daha Sonra Uygulamalarımızdada Kullanabilir.

Ben Şimdi Sizlere Genel Anlamda Guvenlik İcin Kullanabileceğiniz Bir Modul Hazırlatacağım...Bu Modulu Web Sitemiz Uzerinde Tanımlayarak Tum Gelen Dataların Kontrolunu Yaptıracağız...

Bu Modul Ne İşimize Yarar Derseniz,Xss(cross site scripting), Sql Injection Gibi Atak Tiplerinden Sizi Koruyacaktır... Geliştirilebilir Bir Uygulama Olduğu İcin Geliştireceğiniz Uygulamalardada Ek Olarak Entegre Edilebilir.

Şimdi Kodlamaya Başlamadan Once Asp, Php Gibi Dillere Ve Atak Tiplerimize Bizi İlgilendirdikleri Kadarından Goz Atalım...

Dillerden Başlamak Gerekise;
Active Server Page Kelimelerinin Baş Harflerinden Oluşur.
Personal Home Page Kelimelerinin Baş Harflerinden Oluşur.
Asp ve Php Dilleri, Server'a Yapılan Istek Sonrası Sayfa İcerisindeki Kodlara Gore İcraa Edilirler.
Şimdi Bu Ne Anlama Gelir ?
Ornek Vermek Gerekirse,
Web Tarayıcımıza, Http://www.frmtr.com/test.asp veya http://www.frmtr.com/test.php Yazdığımızda,Sunucuda Yer Alan frmtr.com Domainin Tanımlanmış Olan Sanal Dizinin İcerisinde Yer Alan test.asp Dosyasının Islenmesiİcraa Edilmesi, İstenir/Talep Edilir....( tabi burada ilk olarak dns server'a ve daha sonra sunucuya ulaşınır fakat bunlar konumuzun dışında kalan şeyler ayrıntılı bilgi icin google a domain name server cozumlenmesi yazarak ulaşabilirsiniz. bkz.)
Sunucuda Bu Dosya Var Ve Asp Desteğide Tamamsa, Sayfa İcerisindeki Kod, Sunucuda Tanımlanmış bileşen Tarafından Yorumlanır Ve Bize Sunulur...
Web Tarayıcımıza Yazmış Olduğumuz Talep Http://www.frmtr.com/test.asp?test=1 veya Http://www.frmtr.com/test.php?test=1
Şeklinde Olursa, Istekte Bulundugumuz Sayfa İcerisine, test talebi Olarak 1 Değeri Gonderilir.
Bu Değer Sayfa İcerindeki Yapılanmış Kodlara Gore İşlenir ve Tekrar Sayfa İcraa Edilip Bize Sunulur. Bu Bir Kısır Dongudur. Ve Web'in Calışma Mantığı Budur. Siz Talep Edersiniz Oda Bunlar Dogrultusunda Size Cevap Verir.

Buraya Kadar Herşey Tamamsa Şimdi, Sayfamıza test talebi Olarak 1 Değeri Gonderdiğimiz Yaptığımız İşlemlere Veya İşleme Bakalım.

asp dilinde:
Kod:

Php dilinde:
Kod:

Olarak Dosyalarımızı Oluşturup, test.asp veya test.php olarak kayit edip,Herhangi Bir Sunucuda Şu Şekilde Calıştırdığımızda ( sunucumuzun dilimizi desteklediğine,dikkat edelim)
http://sunucumuzunadi/test.asp?test=1 veya http://sunucumuzunadi/test.php?test=1
Direk Olarak Sayfa İcerinde 1 Karakterini Goreceksiniz, Sunucudan Talep Ettiğimiz Sayfa Test.asp veya Seciminize Gore Test.php Budan Sonraki gelen Istek Sayfa İcerine Giden Taleptir. Bu Talepde Biz Sayfa İcerinde Yayımlanmasını Belirttiğimiiz İcin Size Direk 1 Karakterini Sunmuş Olması Gerekli.
Şimdi Buraya Kadarda Herşey Tamamsa, Bunu Ne Olarak Kullanacağımıza Ve Atak Tiplerine Gececeğiz...

Şimdi Sunucumuza Yaptığımız İsteği Şu Şekilde Değiştirelim,
Asp Olarak Test Edecekler:
http://sunucuadi/test.asp?test=
Php Olaarak Test Edecekler:
http://sunucuadi/test.php?test=

İsteğinde Bulunduğunuz Zaman Sayfa İcraa Edildiği Taktirde, Tarayıcınızında Javascript Desteği Varsa, Javascript Uyarısı Almış Olmalısınız. Bunun Sebebi, Direk Olarak Gelen Talep Versinin Sayfa İcerisinde İcraa Edilmesidir. Istersek Buraya,
http://sunucuadi/test.asp?test= veya http://sunucuadi/test.php?test=
Yazarak Sayfamızın Arkaplan Rengini Siyah Olarak Değiştirebiliriz. Buraya Yazacağımız Tum Değerler Sayfa İcerisinde Yorumlanacaktır.

Buraya Kadar Herşey Tamasa, Atak Tipine Gecelim, Buraya Kadar Yaptığımız Ataklara , xss(Cross Site Scripting) Diyoruz. Yani Sayfa İcerisine Komut Gomebildiğimiz/Eklem Yaptığımız Ataklara/Acıklara Deniyor.
Birde Sql Injection Acımız Var,Buda Aynı Şekilde, Asp, Php Dilleri Uzerinden Yapılan DataBase(veritabanı) İşlemlerinde Kullanılan Arabirim Sql Sorgularına Yapılan Eklemeler, Ornek Vermek Istıyorum Fakat Hacking İceriğe Gireceği Ve Kotu Amacla Kullanilabileceği İcin Yazmıyorum. Dilerseni Google Amcaya Başvurabilrisiniz, ( sql injection yazdiğiniz taktirde gerekli aciklamlara ayrintili şekilde ulaşabilirsiniz, yazdiğim bu kadar yazı bu ornek icin gidebilir, uzgunum )

Bu İki Atak Turu İcinde Savunma Bağamında Kullanılacak Cok Basittir Aslında.

Asp İcin replace, Php İcin str_replace Fonksiyonlariyla, [B]