Neden birden fazla seviyede güvenlik

24-8-2005

IIS 5+ ve 6.0'da server_name spoofing açığı bulunmuş, yani server-side olarak Server variable' larına erişirken "SERVER_NAME" e değiştirilebiliyor normalde bu lokal bilgisayarın adını vermelidir "localhost" (tankado' ya teşekkürler, düzelttirdi yanlış yamışız).

Gene normal şartlar altında bu hiç bir şekilde modifiye edilemeyen bir datadır (bakınız güvenlikte zincir yapısı) ancak bu açık sayesinde bu değiştirilebilir bir data oldu. Bundan sonra sizin buna dayanarak yaptığınız tüm güvenlik çökebilir anlamına geliyor, işte bu yüzden her daim ikinci güvenlik planlarımız olması önemli. Mesela bu datanın değiştirilemeyeceğini bilsek bile kullanırken filtrelemek bir adımdır. Her ne kadar bu işin en küçük etkisi olsa bile.

Not: Bir kaç gündür yoğunluktan ilgilenemedim, yorumların bir kısmı onaylanmadı vs.

Recent Blog Posts

See all of the blog posts