Web sitesi Güvenliği, DOS - DDOS Saldırıları...
ASP.Net MVC 4 Güvenlik Açığı [Soru]
ASP.Net MVC 4 Güvenlik Açığı [Soru]
-
MVC 4 Razor scriptler üzerinde kullanılan viewbag üzerine acaba dışarıdan müdahele olabiliyormu yani güvenlik açısından yetkilendirmede viewbag üzerinde ki bilgilere göre yetkilendirme yapmak güvenlik açığı oluşturur mu ?
Not : Sadece ilk sayfalar oluşturulurken kullanıyorum bu değerleri sonrasında sayfa üzeirnde ,nputlarda flan değişmesi bir anlam ifade etmiyor
-
ViewBag server tarafında oluşan birşey ve yin sayfa sunucu tarafında oluşturulup kullanıcıya gönderildiği için manipüle edilme imkanı yoktur diye tahmin ediyorum.
-
TeRRoR bunu yazdı
ViewBag server tarafında oluşan birşey ve yin sayfa sunucu tarafında oluşturulup kullanıcıya gönderildiği için manipüle edilme imkanı yoktur diye tahmin ediyorum.
aslında arkadşın sorusu önemli :) ben de mvc de yeniyim ve konu dikkatimi çekti. viwbag server taraflı demişsin, mesela üyenin tüm bilgilerini viewbag e atasam
ViewBag.Uye = model.uyeler[0]; gibi mesela
bunu kullanıcı görebilir mi?
-
unbalanced bunu yazdıTeRRoR bunu yazdı
ViewBag server tarafında oluşan birşey ve yin sayfa sunucu tarafında oluşturulup kullanıcıya gönderildiği için manipüle edilme imkanı yoktur diye tahmin ediyorum.
aslında arkadşın sorusu önemli :) ben de mvc de yeniyim ve konu dikkatimi çekti. viwbag server taraflı demişsin, mesela üyenin tüm bilgilerini viewbag e atasam
ViewBag.Uye = model.uyeler[0]; gibi mesela
bunu kullanıcı görebilir mi?
MVC'de yeni bile sayılmam geçen sene eğlenmek amaçlı çalışmıştım üzerinde. Ancak oldukça uzun süredir Web form deneyimim var.
ViewBag'ı o dönem görmüş ve kullanmıştım. ViewBag model'den View'e bilgi aktarmak için kullanılıyor diye hatırlıyorum. Ve bu durum %100 server tarafında gerçekleştiriliyor. Durum böyle olunca ViewBag daki bilgiler son kullanıcıya ulaşamıyor oluyor. Yani Server-Side bir işlem oluyor. Ancak .net framework'de IIS'de filan bir açık olması durumunda bu bilgilere erişebilir.
-
Emin olmamakla birlikte kullanici tarafinda ViewState seklinde gonderilip geri aliniyor (One Time olmasi bu yuzden)
Ama o anki session key gibi bir sey ile sifrelenip gidip geliyor olmasi lazim. Yani aslinda degistiremez ama o session icinde surekli ayni seyi gondere bilir (emin degilim)
-
@terror, bu bilgi html koduna mı çevriliyor acaba. dediğin gibi server taraflı bir kod. ama mesela ben bir üyenin tüm bilgilerini buraya aldım (statik olarak tutmak istiyorum) buna client tarafında uğraşan biri ne denli ulaşabilir.
@rakkoc, viewstate dediğin şifreli session gibi bir şey mi? mesela ViewState["bilgi"] Session["bilgi"] arasındaki fark nedir
-
ViewBag sadece bir değişkendir, controller'dan view'a tek yönlü sabit bir veri taşımak için kullanılır, viewstate falan hiçbiriyle alakası yoktur ve kullanıcının değiştirme şansı da yoktur, dolayısıyla güvenlik açığı da oluşturmaz.
-
güvenlik açığı oluşturacağını kesinlikle düşünmüyorum.
-
ASP.net sayfasinda kaynaga bak hocam.
<div class="aspNetHidden"> <input type="hidden" name="__VIEWSTATE" id="__VIEWSTATE" value="/wEPDwUKLTg4MDU3NjI2N2RkFFQYC5YiEq+aPetsJVf1FrARx2KuDP88nnHMZSEgeFQ=" /> </div> seklinde bir bolum var.
Viewstate o sayfadadir. (post ile gider) ama Session dersen session server tarafindadir. ViewBag'e simdi baktim oyle degilmis zaten. ViewBag tek Renderlik Session gibiymis. Bir sonraki step'te clear oluyormus.
http://stackoverflow.com/questions/9661171/diference-between-viewbag-and-viewstate
Cliente gitmiyormus. yani ayni session icindede de olsa gitmiyor dert degilmis :D ama ayni anda 2 sayfa acilirsa ViewBag'ler karisirmi onu bilmiyorum.