ASP Forum Guvenlik

  1. KısayolKısayol reportŞikayet pmÖzel Mesaj
    BeyazSeytan
    BeyazSeytan's avatar
    Kayıt Tarihi: 17/Temmuz/2005
    Erkek

    Merhabalar Ben bir Forum yazmaya basladim. ASP ile yapacağim ve RTE kullanacağim. ama normalde guvenlik amacli bir funtionum waer :
    GelenVeri = Replace(GelenVeri, "<", "& l t")
    GelenVeri = Replace(GelenVeri, ">", "& g t")
    GelenVeri = Replace(GelenVeri, "script", "& # 1 1 5 cript", 1, -1, 0)
    GelenVeri = Replace(GelenVeri, "SCRIPT", "& # 0 8 3 CRIPT", 1, -1, 0)
    GelenVeri = Replace(GelenVeri, "Script", "& # 0 8 3 cript", 1, -1, 0)
    GelenVeri = Replace(GelenVeri, "script", "& # 0 8 3c ript", 1, -1, 1)
    gibi uzayip gidiyo ama benim soracağim su RTE oldugu icin iceride <p> <img src="sdsd.sdf"> tarzinda gerekli kodlarda olacak tir ama disaridan <script> gibi seylerde post edile bileceğini dusundum < ve > bize lazim ama script ti ve buna benzeyen diyer taglari kaldiricam ama bir sorunum daha waer ki replace de buyuk kucuk harf duyarliliği waer yani ben Scrip ti tanimlasam adamScRiP yazsa html bunu yorumlayacak ama benim guvenlik systemimden kurtulmus olacak bu sekilde bir sistemi nasil kura bilirim.


    <% if not hayat.eof then hayat.close %>
  2. KısayolKısayol reportŞikayet pmÖzel Mesaj
    MitNickKevin
    MitNickKevin's avatar
    Kayıt Tarihi: 09/Mart/2004
    Erkek

    GelenVeri = Replace(GelenVeri, "<div", "&lt;div", 1, -1, 0)
    GelenVeri = Replace(GelenVeri, "<DIV", "&lt;DIV", 1, -1, 0)
    GelenVeri = Replace(GelenVeri, "<Div", "&lt;Div", 1, -1, 0)
    GelenVeri = Replace(GelenVeri, "<div", "&lt;div", 1, -1, 1)


    GelenVeri = Replace(GelenVeri, "</div", "&lt;/div", 1, -1, 0)
    GelenVeri = Replace(GelenVeri, "</DIV", "&lt;/DIV", 1, -1, 0)
    GelenVeri = Replace(GelenVeri, "</Div", "&lt;/Div", 1, -1, 0)
    GelenVeri = Replace(GelenVeri, "</div", "&lt;/div", 1, -1, 1)


    Benim kullandığım sistem bu şikilde...


    Bilgi ceza, Bilgi suç ve Taşımak ağır. Unutmak ise öğrenmekten daha çok zaman alır...
  3. KısayolKısayol reportŞikayet pmÖzel Mesaj
    BeyazSeytan
    BeyazSeytan's avatar
    Kayıt Tarihi: 17/Temmuz/2005
    Erkek

    GelenVeri = Replace(GelenVeri, "<div", "&lt;div", 1, -1, 0)
    GelenVeri = Replace(GelenVeri, "<DIV", "&lt;DIV", 1, -1, 0)
    GelenVeri = Replace(GelenVeri, "<Div", "&lt;Div", 1, -1, 0)
    GelenVeri = Replace(GelenVeri, "<div", "&lt;div", 1, -1, 1)



    GelenVeri = Replace(GelenVeri, "</div", "&lt;/div", 1, -1, 0)
    GelenVeri = Replace(GelenVeri, "</DIV", "&lt;/DIV", 1, -1, 0)
    GelenVeri = Replace(GelenVeri, "</Div", "&lt;/Div", 1, -1, 0)
    GelenVeri = Replace(GelenVeri, "</div", "&lt;/div", 1, -1, 1)


    ama kullanici <dIv - </dIv kullanirsa bunu algilamaz iste hem bunlari algilayacak hemde zararli kodlari ayiklayacak bir sey istiyordum ki buldum haziri yoksa kendim yazarim dedim rte benzeri systen bitmek uzere buna ait tanimlamalari js ile kisitlandiricam sadece onlarin kullanimlarina izin waericem sonrada bakalim nasil olacak

    [editlenipte eklenen kisim :]
    WebWiz i Severdim edit aciğini kapadiğimdaki kodu sitelerinden sildiler sonra dandik bir kod ile diye bir seyler duydum ki calisiyordu + baska bir değisime izin waermiyordu sadece message + Pid aliyordu adamdan neyse ben aciğin kapama kodunuda yazayim simdi foruma


    <% if not hayat.eof then hayat.close %>
  4. KısayolKısayol reportŞikayet pmÖzel Mesaj
    MitNickKevin
    MitNickKevin's avatar
    Kayıt Tarihi: 09/Mart/2004
    Erkek
    Ben hepsini denedim çalışmıyor sen rahat ol...

    Bilgi ceza, Bilgi suç ve Taşımak ağır. Unutmak ise öğrenmekten daha çok zaman alır...
  5. KısayolKısayol reportŞikayet pmÖzel Mesaj
    BeyazSeytan
    BeyazSeytan's avatar
    Kayıt Tarihi: 17/Temmuz/2005
    Erkek
    esegi saglam kaziğa baglada isterse kurt yesin ne olacak.
    http://www.geocities.com/ramsofttr/TozAlici.txt

    <% if not hayat.eof then hayat.close %>
  6. KısayolKısayol reportŞikayet pmÖzel Mesaj
    MitNickKevin
    MitNickKevin's avatar
    Kayıt Tarihi: 09/Mart/2004
    Erkek
    Webwiz forum hepsini kapatmış şu an webwizin html taglarında bir problem yok, enson style tagında benim sayemde sorun çıktı oda kapatıldı :)

    Bilgi ceza, Bilgi suç ve Taşımak ağır. Unutmak ise öğrenmekten daha çok zaman alır...
  7. KısayolKısayol reportŞikayet pmÖzel Mesaj
    tagext
    tagext's avatar
    Üstün Hizmet Madalyası Başarı Madalyası
    Kayıt Tarihi: 25/Temmuz/2002
    Erkek
    harflerin bir kısmınıda unicode karşılıklarıyla değiştirirseniz bir çok script bozulacaktır. "s,c,i" gibi

    ftw
  8. KısayolKısayol reportŞikayet pmÖzel Mesaj
    BeyazSeytan
    BeyazSeytan's avatar
    Kayıt Tarihi: 17/Temmuz/2005
    Erkek

    o yuzden lcase ile ilemi yaptiriyorum ilk o linkteki kod inceledi iseniz. + Link aciğininda gideriyor oradaki yama.
    Savsak.com dan bir arkadasim soyledi bu link : http://rapidshare.de/files/3513095/link_webwiz_by_Ejder5.rar.html


    Acik guselm ama bunu bu site denemek bence terbiyesizliktir Desteklemediğimi belirtmek isterim.


    <% if not hayat.eof then hayat.close %>
  9. KısayolKısayol reportŞikayet pmÖzel Mesaj
    ir2
    ir2's avatar
    Bilgi/Destek Madalyası Developer Madalyası
    Kayıt Tarihi: 10/Mayıs/2003
    Erkek
    MitNickKevin bunu yazdı:



    GelenVeri = Replace(GelenVeri, "<div", "&lt;div", 1, -1, 0)
    GelenVeri = Replace(GelenVeri, "<DIV", "&lt;DIV", 1, -1, 0)
    GelenVeri = Replace(GelenVeri, "<Div", "&lt;Div", 1, -1, 0)
    GelenVeri = Replace(GelenVeri, "<div", "&lt;div", 1, -1, 1)


    GelenVeri = Replace(GelenVeri, "</div", "&lt;/div", 1, -1, 0)
    GelenVeri = Replace(GelenVeri, "</DIV", "&lt;/DIV", 1, -1, 0)
    GelenVeri = Replace(GelenVeri, "</Div", "&lt;/Div", 1, -1, 0)
    GelenVeri = Replace(GelenVeri, "</div", "&lt;/div", 1, -1, 1)


    Benim kullandığım sistem bu şikilde...






    bakın bu koda bakarak coder ile programcı arasındaki farkı anlayabilirsiniz bir coder bunu şöyle yazar;


    GelenVeri = Replace(GelenVeri, lcase("<div"), "&lt;div", 1, -1, 1)


    ancak programcı pratik zekaya sahip omadığından tüm olasılıkları tanıtır

  10. KısayolKısayol reportŞikayet pmÖzel Mesaj
    BeyazSeytan
    BeyazSeytan's avatar
    Kayıt Tarihi: 17/Temmuz/2005
    Erkek
    ir2 bunu yazdı:


    MitNickKevin bunu yazdı:



    GelenVeri = Replace(GelenVeri, "<div", "&lt;div", 1, -1, 0)
    GelenVeri = Replace(GelenVeri, "<DIV", "&lt;DIV", 1, -1, 0)
    GelenVeri = Replace(GelenVeri, "<Div", "&lt;Div", 1, -1, 0)
    GelenVeri = Replace(GelenVeri, "<div", "&lt;div", 1, -1, 1)


    GelenVeri = Replace(GelenVeri, "</div", "&lt;/div", 1, -1, 0)
    GelenVeri = Replace(GelenVeri, "</DIV", "&lt;/DIV", 1, -1, 0)
    GelenVeri = Replace(GelenVeri, "</Div", "&lt;/Div", 1, -1, 0)
    GelenVeri = Replace(GelenVeri, "</div", "&lt;/div", 1, -1, 1)


    Benim kullandığım sistem bu şikilde...







    bakın bu koda bakarak coder ile programcı arasındaki farkı anlayabilirsiniz bir coder bunu şöyle yazar;


    GelenVeri = Replace(GelenVeri, lcase("<div"), "&lt;div", 1, -1, 1)


    ancak programcı pratik zekaya sahip omadığından tüm olasılıkları tanıtır






    Ustadim
    GelenVeri = Replace(GelenVeri, lcase("<div"), "&lt;div", 1, -1, 1)

    Burada zaten <div ufak harf ile yazilmamismi ?? yanlis anlamadi isem dogrusu
    GelenVeri = Replace(lcase(GelenVeri), "<div", "&lt;div", 1, -1, 1)
    olacak ama normal yazininda tamamini kucuk harfé cevirecektir bu sekilde o yuzden bende o waerdiğim linke bakarsaniz bir tarama yapiyorum sadece < ile > arasindakiler kucuk harf e ceviriyorum bu sayede mesala RTE den gelen kod :
    <Html><tr><tD>ASDsad</TD></tR></hTmL> dahi olsa bunu mdb ye <html><tr><td>ASDsad</td></tr></html> olarka yazdiriyorum sonrada ASCII ye ceviriyorum taglari ortada bir sey kalmiyor


    <% if not hayat.eof then hayat.close %>
  11. KısayolKısayol reportŞikayet pmÖzel Mesaj
    BeyazSeytan
    BeyazSeytan's avatar
    Kayıt Tarihi: 17/Temmuz/2005
    Erkek





    Benim yaptiğim toz alici scriptini test etmek isteyen arkadaslar icin : http://www.belasoft.net/denek.asp bekliyorum her turlu gorus ve dusuncelerinizi.


    <% if not hayat.eof then hayat.close %>
Toplam Hit: 1382 Toplam Mesaj: 14