Salı, Eylül 25, 2007

Web uygulamalarda neden girdi kontrolü yeterli değil?

Özellikle XSS saldırılarını engellemek için, web uygulamalarında girdi denetimi yapılması gerekmektedir ama ne yazık ki bu tek başına yeterli değildir. Bu denetimin yetersiz kaldığı durumlar söz konusudur. Asıl önemli olan çıktının kodlanmasıdır (output encoding).

Bu konuda aşağıdaki linklerden daha ayrıntılı bilgi edinebilirsiniz:
http://www.oreillynet.com/onlamp/blog/2005/10/repeat_after_me_lack_of__outpu.html

http://www.cigital.com/justiceleague/2007/08/10/mitigating-xss-why-input-validation-is-bogus/

http://www.cigital.com/justiceleague/2007/08/03/stop-saying-input-validation/

1 yorum:

$scripter dedi ki...

Nedeni çok basit, kodcuların temmelliğinden daha doğrusu üşengeçliğinden. Ama günümüzde üretilen uygulamalarda artık herkes işin bilincinde. Herkes çok iyi biliyor ki basit detaylar bile büyük bedellere sebep olabiliyor.