Forum
Aktif konular
Üyeler
Kurallar
Arama
ASP Olası Açıklar ASP Olası Açıklar
-
Yine bir ASP konusu ve yine ben :) Müridler ASP'de bildiğiniz tüm açıkları söyleyelim bunların kapatılma yollarını söyleyelim.Güzel bir konu olur düşüncesindeyim..SQL inj. vs...
-
En klasiği zaten http://tahribat.com/Dokuman-Asp-Sql-Injection-Engelleme-272/ bu linkte mevcut :) zaman buldukça bişeyler karalarım yine.
-
var mı başka mürid açıkları ve kapatma yollarından örnekler verecek?
-
Lightsaber bunu yazdı
var mı başka mürid açıkları ve kapatma yollarından örnekler verecek?
yau klasik zaten müridin verdiği dışında pek yok,
xss kalmadı.
'or' açığı tırnağı replace ederek ortadan kalkıyor.
db access ise mdb dosyasının izinleri ayarlanıyor.
db nin bulunduğu klasör yada db ismi basit olmuyor.
Upload bileşeni önemli, kesinlikle dosya türü ve çözünürlük boyut vs. alınıyor.
gif89a; diye araştır bak.
-
EnableTurk bunu yazdıLightsaber bunu yazdı
var mı başka mürid açıkları ve kapatma yollarından örnekler verecek?
yau klasik zaten müridin verdiği dışında pek yok,
xss kalmadı.
'or' açığı tırnağı replace ederek ortadan kalkıyor.
db access ise mdb dosyasının izinleri ayarlanıyor.
db nin bulunduğu klasör yada db ismi basit olmuyor.
Upload bileşeni önemli, kesinlikle dosya türü ve çözünürlük boyut vs. alınıyor.
gif89a; diye araştır bak.
xss te zaten bildiğin kadarıyla "<" replace edince ortadan kalkıyor peki ddos flood gibi saldırılara karşı nasıl korunabiliriz ASP'de? veya RFI LFI açıklarına karşı?
Lightsaber tarafından 29/Eki/12 13:44 tarihinde düzenlenmiştir -
up upp
-
hadi müridler yok mu flood ,ddos,rfı,lfi vs. kapama yollarını paylaşacak?
-
güvenlik kodu kullan
mesaj atımlar için belli bir zaman kullan (2 mesajdan sonra 15 saniye beklemek gibi)
-
ddos a karşı session kontrolü yapıcaksın,
url parameter alıcaksın,
örneğin bir önceki sayfa aynı ise ve yükleme süresinden itibaren 2 saniyeden az süre geçmişse 3 e kadar sayar bu şekilde 3 olduğunda,
session("orospucocugu")="evet" yaparsın,
sayfaların başında da orospucocugu kontrolü yaparsın.
örnek verdim, sen bunu db işlemleri yapılan sayfalarda kullanacaksın.
EnableTurk tarafından 29/Eki/12 22:03 tarihinde düzenlenmiştir -
DDOS genellikle network servisleri ile ilgili saldırıları belirtir.
dolayısı ile bir script dili ilse network servislerine gelen saldırıyı engelleyemezsin, kavram karmaşası yapmayalım...
En fazla flood'u engellersin.
renegadealien tarafından 31/Eki/12 06:24 tarihinde düzenlenmiştir -
mesela ben ddos'a karşı ön bir flood kontrolü yapıp sessionla flood varsa ip ban yapacak veritabanındaki belli bir zaman diliminde kaydedilen Ip sayısı eğer mesela 10'un üzerindeyse öyle bir şey yapmalıyım ki ddosu engelleyebileyim..Çünkü adamlar öyle bir botnet ağı kurmuştur ki o flood korumasını yaparken bile adamların saldırısı etkili olur..ddosu engellemek için başka bir url'ye yönlendirme fikri geldi ama o zamanda site ulaşılmaz hale gelir..başka nasıl bir önlem alabilirim ?a ddos saldırısı yapıldığında üstte dediğim yöntemle tespit ettikten sonra saldırılan her sayfayı sitemiz saldırı altında bulunduğundan dolayı geçici erişime kapalıdır gibi bir sayfaya mı yönlendiriyim? saldırır zararını azaltmış olur muyum?
Kısayol
Şikayet
Özel Mesaj
Alıntı yap
Cevapla