Popüler İnternet Kültürü

ajax Güvenliği: Dirt’den daha kuvvetli?

ajax’ın güvenlik içeriğine bir bakış

ajax; daha zengin özellikli , eşzamanlı olmayan programların gelişimine, izin verir, fakat bunu yaparken de yeni saldırılara yeni olasılıklar yaratır. İlgili güvenlik konularına ve onların olası çözümlerine bakacağız.

ajax (Asynchronous JavaScript and XML = Eşzamanlı olmayan JavaScript ve XML) 2005’de hayata geçmiştir. Bir web servisi modeli ajax, yeni ve büyük bir şey olarak web geliştirme işindekilere tanıtılmıştır. Bütün bunlara karşın, ajax kusursuz değildir, bunların en başında herkes ajax’ın ne olduğunu bilmemektedir ve olası riskler kurumsal çevrelere tam olarak anlatılamamıştır. Bu makale, ajax’ın ne olduğunu, ajax programlarının güvenlik içeriklerini ve bu teknolojiye karşı potansiyel saldırı vektörlerini ve olası koruma sistemlerini inceler.
Read more…

Açtıgınızda örnek olarak görmek için select * from kayitlar yazın.

veritabanına yazma izni vermeyi unutumayın.

ajax – Asynchronous JavaScript language and XML

Son zamanlarda neredeyse tüm şirketler web uygulaması yapmaya / yaptırmaya, şirket içi uygulamalarını bile windows uygulamaları değilde birer web / intranet uygulamalarına çevirdiler. Elbette bu makale web uygulamaları ve windows uygulamalarını karşılaştırmak için yazılmadı. Fakat hepimizin bildiği bir gerçek var ki web uygulamalarında asla windows uygulamaları kadar rahat çalışamayız, o kadar canlı kontroller yazamayız.

Özellikle kullanıcının girişlerine göre datanın filitrelenmesi, kullanıcının yönlendirilmesi gibi işlemler web developerları uğraştıran ve sayfanın post-back olması nedeniyle de kullanıcı için pek sevimli olmayan bir yapıya sahiptirler.

Fakat artık bu yapı değişiyor. Google Suggest e bir göz atın. Siz klavyenizdeki tuşlara bastıkça google size çeşitli kelimeler önerecektir. Google’ın bu uygulamasını ilk açtığımda henüz ajax hakkında hiçbirşey bilmiyordum ve büyük bi soğuk kanlılıkla, view source diyip bakmış ve kelimelerin orada olmadığını görünce çok ama çok şaşırmıştım. (Gelecek makalemizde aynı öneri TextBox’ını nasıl yapabileceğimizi göreceksiniz.)

Peki teknolojik olarak nedir ajax? Öncelikle ajax bir teknoloji değil, bir kaç teknolojinin kullanımından ortaya çıkan bir yaklaşımdır. Bu teknolojiler ise,

• XHTML ve CSS gibi presentation teknolojileri
• Data iletişimi için XML ve XSLT
• Asenkron data erişimi için XMLHttpRequest
• Herşeyi birleştirecek olan JavaScript

Klasik web uygulamalarının çalışma şekli şöyledir : browser üzerinden servera bir HTTP isteği (request) gönderilir, server gerekli hesaplamaları, işlemleri yapar ve html bir sayfa üreterek bu sayfayi clienta gönderir. Gönderilen yeni html sayfayı bowser yeniden yükler ve istenilen işlemlerin sonucu alınmış olur. Fakat, server bir iş yaparken client bekler, client bir iş yaparken server bekler vs..vs.. bu nedenle web uygulamalarını yazılım yapısı olarak pek te sevimli sayılamıyor.

Read more…

ajax İngilizce’si Asynchronous JavaScript and XML olan bir web geliştirme yöntemidir. İnternet’te çokça bahsedilmesinin sebebi web uygulama geliştirmeye getirdiği yeni yaklaşımdır.

Geleneksel web geliştirme tekniğinde tarayıcı linkler veya formlar aracılığıyla sunucuya istek ve veri gönderir. Sunucudan gönderdiği istek ve verilere göre sonuç dönmesini bekler. Sunucunun gönderdiği veriyi gösterir. Ki bu çoğunlukla HTML veya resimdir. Şimdi söyle bir senaryo çizelim. Bir sayfa düşünelim. Üç sutundan oluşsun. Sayfanın üstünde banner ve üst menü, solunda site menüsü ve reklamlar, sağında kullanıcı giriş formu ve haberlerin gösterildiği bir tablo ve ortada da ana içerik olsun. Ana içerik ise site içinde arama yapmanızı sağlayan bir form olsun.

Bu sayfa geleneksel web tekniği ile yapıldığında arama kelimeleri girilir ve form gönderilir. Form gönderildiğinde çıkan sonuçlar gösterilirken sayfanın sağındaki solundaki ve üstündeki resimler,menüler ve linkler tekrar getirilir. Burada halbuki yeterli olan sadece arama sonuçlarıydı. Sadece arama sonuçlarının getirilmesini sağlama şansımız yoktur. Bu çerçeve (frame) kullanarak veya arama sonuçlarını ayrı pencerede göstererek yapılabilir. Bu çözümlerin bazı problemleri vardır. Bu problemlerden yazının konusu dışında olduğu için bahsedilmeyecektir.

Read more…

Bu yazımda web uygulamalarında gün geçtikçe daha yoğun bir şekilde kullanılan bir teknikten bahsedeceğim. Sanırım herkes google�ın uygulamalarını yakından takip ediyor. Google Suggest uygulamasını ilk defa kullanan herkes sanırım şu soruyu sormuştur: Bu uygulama hangi teknik kullanılarak yapıldı? Ben aynı soruyu yıllar önce Outlook Web Access(OWA) uygulamasını kullandığımda sormuştum! İşte bu yazımda sizlere google, amazon.com ve bir çok büyük sitede görebileceğiniz asenkron sunucu taraflı kod çalıştırma tekniği olan ve kısaca AJAX olarak adlandırılan bir teknikten bahsedeceğim.

Not : Google Suggest uygulamasında siz arama yapmaya başladığınız anda yazdığınız karakterler siz farkına olmadan(asenkron bir şekilde) sunucuya gönderilir ve size aramak istediğiniz kelimeler hakkında önerilerde bulunur. Ve tabiki hangi kelimenin kaç defa geçtiğinide bildirerek. Bu uygulamadaki kritik nokta sayfanın refresh(yenilenm) olmadan client tarafta yapılan bir isteğe sunucu tarafından cevap gönderilmesidir.

Programcıların son yıllarda web uygulamalarına yönelmesi ancak hala web uygulamalarının bir masaüstü uygulamasının sunduğu olanakları verememesi Microsoft’ta dahil olmak üzere bir çok firmayı çeşitli arayışlara itmiştir. Özellikle kullanıcı arayüzü tarafında web uygulamaları henüz gelmek istediği seviyeye gelmemiştir. Basit bir örnek vermek gerekirse, bir web uygulamasından dinamik bir işlem yapıldığında(örneğin bir form dolduruldugunda) sunucuya bu istek gönderilmekte ve o an üzerinde bulunan web sayfası kullanılamaz hale gelmektedir. Bu durum HTTP protokolünün implementasyonundan kaynaklanmaktadır.

Read more…

iSec’in ajax güvenliği ile ilgili olan 2.kitapçığı. Tavsiye ederim.

ria-and-ajax-security-workshop-part-2-1224534878457135-8

Tag’lerden neyle ilgili olduğunu anlayabilirsiniz.

Download : ajax-security-1202338796997067-5

Pretty Good Privacy (PGP)
Security at Application Layer
Secure Sockets Layer
Transport Layer Security (TLS)
Security at Transport Layer (SSL)
IPSec
Security at IP Level
Certificates
Key Management
Cryptography
Digital Signatures

Download : network-security-primer-9544

-Discovery and Method Manipulation
–XSS
–Cross-Site Request Forgery
-Security of Popular Frameworks
–Java DWR
–SAJAX
–Microsoft ATLAS
–Google GWT

Download : ria-and-ajax-security-workshop-part-1-1224534692261578-8

Ajax Güvenliği: Dirt’den daha kuvvetli?

Ajax’ın güvenlik içeriğine bir bakış

Ajax; daha zengin özellikli , eşzamanlı olmayan programların gelişimine, izin verir, fakat bunu yaparken de yeni saldırılara yeni olasılıklar yaratır. İlgili güvenlik konularına ve onların olası çözümlerine bakacağız.

Ajax (Asynchronous JavaScript and XML = Eşzamanlı olmayan JavaScript ve XML) 2005’de hayata geçmiştir. Bir web servisi modeli  Ajax, yeni ve büyük bir şey olarak web geliştirme işindekilere tanıtılmıştır. Bütün bunlara karşın, Ajax kusursuz değildir, bunların en başında herkes Ajax’ın ne olduğunu bilmemektedir ve olası riskler kurumsal çevrelere tam olarak anlatılamamıştır. Bu makale, Ajax’ın ne olduğunu, Ajax programlarının güvenlik içeriklerini ve bu teknolojiye karşı potansiyel saldırı vektörlerini ve olası koruma sistemlerini inceler.

Read more…