Tahribat.com Forumları
Web sitesi Güvenliği, DOS - DDOS Saldırıları...
ASP.Net MVC 4 Güvenlik Açığı [Soru]

Yazar rakkoc (2) SSH (1) TeRRoR (2) trampfd (1) unbalanced (2) Gösterim 10 50 75 100
Ağ ve Veri Güvenliği     Hertürlü Web tabanlı Saldırı Taktik ve Stratejileri     Web sitesi Güvenliği, DOS - DDOS Saldırıları...     Bilgisayar Güvenliği - Backdoorlar     Virüs - Trojan - Keylogger - BotNet     Skype - Mirc - Irc - Icq - Mail Güvenliği     Bilişim Güvenliği     Hesaplar / Üyelikler     Domain - Hosting - Reseller - Dedicated Server - Virtual Server - IRC Shell - Seedbox     İnternet Güvenliğine Giriş Programlama     C#, Asp.Net, .Net Core     C - C++     Delphi - Pascal     Visual Basic - Basic - PicBasic ve Türevleri     Java     Android - IOS Programlama     Mobil Programlama     Asp - Php - Cgi - Perl     Assembly - Reverse Engineering     Html - CSS - XML - JavaScript - Ajax     Database - Veritabanı     Python     Grafik - Animasyon - Flash - 3D Modelleme     Webmaster ve Yazılım Geliştiriciler     Google / Yandex / Bing ve Servisleri     Programlama Genel     Programlamaya Giriş Bilgisayar ve Teknoloji     Microsoft Windows Ailesi İşletim Sistemleri     Linux ve Diğer İşletim Sistemleri     Donanım & Driver     Network - İnternet     Elektronik / Embedded / Mobil Cihazlar     Kriptoparalar & Blockchain     Fotografçılık ve Digital Fotograf Makineleri - Video Kameralar     Cep Telefonları, Gsm Operatörleri ve Mobil İnternet     Oyunlar     Yazılımlar / Diğer Programlar     Bilgisayarla İlgili Diğer Konular İnternet     Download / Dosya Paylaşım     Bilgisayar ve Internet Teknolojileri İle İlgili Video / Resim / Flash Paylaşım     İnternet Siteleri     Sosyal Ağlar Genel     Genel     Gündem - Güncel Konular     Derin Konular     Bilim Teknik Teknoloji     Müzik & Sinema & Tiyatro & Kitap & Televizyon & Seminerler & Edebiyat     Eğitim & Ödev & Bilimsel Döküman     E-Book     İş - Güç, E-Ticaret, Alışveriş     Hukuk & Muhasebe & Sigorta Soru - Cevap     Ulaşım Araçları ve Seyahat     Vukuatlar     Geyik & Teknoloji İle İlgili Olmayan Video / Resim / Flash Paylaşım Tahribat.com Konuları     Tahribat.com Programları®     Tahribat.Com - Açık Kapılar Önünde     Tahribat.Com - Sosyal Etkinlikler     TahriDepo

ASP.Net MVC 4 Güvenlik Açığı [Soru]

1. 09/Oca/13 12:39 Kısayol Şikayet Özel Mesaj
   Marslan
   
   

   Kayıt Tarihi: 31/Ağustos/2012
   

   MVC 4 Razor scriptler üzerinde kullanılan viewbag üzerine acaba dışarıdan müdahele olabiliyormu yani güvenlik açısından yetkilendirmede viewbag üzerinde ki bilgilere göre yetkilendirme yapmak güvenlik açığı oluşturur mu ?

   Not : Sadece ilk sayfalar oluşturulurken kullanıyorum bu değerleri sonrasında sayfa üzeirnde ,nputlarda flan değişmesi bir anlam ifade etmiyor

   ---

   ...
   Alıntı yap
2. 09/Oca/13 13:52 Kısayol Şikayet Özel Mesaj
   TeRRoR
   
   

   Kayıt Tarihi: 06/Nisan/2007
   

   ViewBag server tarafında oluşan birşey ve yin sayfa sunucu tarafında oluşturulup kullanıcıya gönderildiği için manipüle edilme imkanı yoktur diye tahmin ediyorum.

   ---

   herkes programcı olmak zorunda değildir, lütfen bir zorunluluk gibi programlama dilleri öğrenmeye çalışmayın. yabancı dil filan öğrenin amq.// s.kimin etini yerim, kasaba minnet etmem.// ince düşünene kalın girer.//
   Alıntı yap
3. 09/Oca/13 15:51 Kısayol Şikayet Özel Mesaj
   unbalanced
   
   

   Kayıt Tarihi: 14/Haziran/2006
   

   TeRRoR bunu yazdı

   ViewBag server tarafında oluşan birşey ve yin sayfa sunucu tarafında oluşturulup kullanıcıya gönderildiği için manipüle edilme imkanı yoktur diye tahmin ediyorum.

   aslında arkadşın sorusu önemli :) ben de mvc de yeniyim ve konu dikkatimi çekti. viwbag server taraflı demişsin, mesela üyenin tüm bilgilerini viewbag e atasam

    

   ViewBag.Uye = model.uyeler[0]; gibi mesela

   bunu kullanıcı görebilir mi? 

   ---

   Ülkesini Seven Her Türk Vatandasi, Ülkesinin Sessiz Istilasi'na karsi durmak zorunda.
   Alıntı yap
4. 09/Oca/13 16:13 Kısayol Şikayet Özel Mesaj
   TeRRoR
   
   

   Kayıt Tarihi: 06/Nisan/2007
   

   unbalanced bunu yazdı

   TeRRoR bunu yazdı

   ViewBag server tarafında oluşan birşey ve yin sayfa sunucu tarafında oluşturulup kullanıcıya gönderildiği için manipüle edilme imkanı yoktur diye tahmin ediyorum.

   aslında arkadşın sorusu önemli :) ben de mvc de yeniyim ve konu dikkatimi çekti. viwbag server taraflı demişsin, mesela üyenin tüm bilgilerini viewbag e atasam

    

   ViewBag.Uye = model.uyeler[0]; gibi mesela

   bunu kullanıcı görebilir mi? 

   MVC'de yeni bile sayılmam geçen sene eğlenmek amaçlı çalışmıştım üzerinde. Ancak oldukça uzun süredir Web form deneyimim var.

   ViewBag'ı o dönem görmüş ve kullanmıştım. ViewBag model'den View'e bilgi aktarmak için kullanılıyor diye hatırlıyorum. Ve bu durum %100 server tarafında gerçekleştiriliyor. Durum böyle olunca ViewBag daki bilgiler son kullanıcıya ulaşamıyor oluyor. Yani Server-Side bir işlem oluyor. Ancak .net framework'de IIS'de filan bir açık olması durumunda bu bilgilere erişebilir.

   ---

   herkes programcı olmak zorunda değildir, lütfen bir zorunluluk gibi programlama dilleri öğrenmeye çalışmayın. yabancı dil filan öğrenin amq.// s.kimin etini yerim, kasaba minnet etmem.// ince düşünene kalın girer.//
   Alıntı yap
5. 09/Oca/13 18:21 Kısayol Şikayet Özel Mesaj
   Elif - Efe
   rakkoc
   
   

   Kayıt Tarihi: 19/Aralık/2003
   

   Emin olmamakla birlikte kullanici tarafinda ViewState seklinde gonderilip geri aliniyor (One Time olmasi bu yuzden)

   Ama o anki session key gibi bir sey ile sifrelenip gidip geliyor olmasi lazim. Yani aslinda degistiremez ama o session icinde surekli ayni seyi gondere bilir (emin degilim)

   ---

   Bu aralar fazla yogunum. Unuttugum seyler oluyorsa affola. DM vs atın.
   Alıntı yap
6. 09/Oca/13 18:47 Kısayol Şikayet Özel Mesaj
   unbalanced
   
   

   Kayıt Tarihi: 14/Haziran/2006
   

   @terror, bu bilgi html koduna mı çevriliyor acaba. dediğin gibi server taraflı bir kod. ama mesela ben bir üyenin tüm bilgilerini buraya aldım (statik olarak tutmak istiyorum) buna client tarafında uğraşan biri ne denli ulaşabilir. 

    

   @rakkoc, viewstate dediğin şifreli session gibi bir şey mi? mesela ViewState["bilgi"]  Session["bilgi"] arasındaki fark nedir

   ---

   Ülkesini Seven Her Türk Vatandasi, Ülkesinin Sessiz Istilasi'na karsi durmak zorunda.
   Alıntı yap
7. 09/Oca/13 18:50 Kısayol Şikayet Özel Mesaj
   trampfd
   
   

   Kayıt Tarihi: 10/Mayıs/2006
   

   ViewBag sadece bir değişkendir, controller'dan view'a tek yönlü sabit bir veri taşımak için kullanılır, viewstate falan hiçbiriyle alakası yoktur ve kullanıcının değiştirme şansı da yoktur, dolayısıyla güvenlik açığı da oluşturmaz.

   ---

   Ehl-i Byte
   Alıntı yap
8. 09/Oca/13 20:35 Kısayol Şikayet Özel Mesaj
   SSH
   
   

   Kayıt Tarihi: 21/Temmuz/2005
   

   güvenlik açığı oluşturacağını kesinlikle düşünmüyorum.

   ---

   sırıtma la.
   Alıntı yap
9. 09/Oca/13 21:33 Kısayol Şikayet Özel Mesaj
   Elif - Efe
   rakkoc
   
   

   Kayıt Tarihi: 19/Aralık/2003
   

   ASP.net sayfasinda kaynaga bak hocam. 

   <div class="aspNetHidden">
   	<input type="hidden" name="__VIEWSTATE" id="__VIEWSTATE" value="/wEPDwUKLTg4MDU3NjI2N2RkFFQYC5YiEq+aPetsJVf1FrARx2KuDP88nnHMZSEgeFQ=" />
   	</div>

   seklinde bir bolum var.

   Viewstate o sayfadadir. (post ile gider) ama Session dersen session server tarafindadir. ViewBag'e simdi baktim oyle degilmis zaten. ViewBag tek Renderlik Session gibiymis. Bir sonraki step'te clear oluyormus.

   http://stackoverflow.com/questions/9661171/diference-between-viewbag-and-viewstate

   Cliente gitmiyormus. yani ayni session icindede de olsa gitmiyor dert degilmis :D ama ayni anda 2 sayfa acilirsa ViewBag'ler karisirmi onu bilmiyorum.

   ---

   Bu aralar fazla yogunum. Unuttugum seyler oluyorsa affola. DM vs atın.
   Alıntı yap

Cevapla