Arşiv

Günlük Okunma : 23 | 23.06.2008

One of the cardinal rules of the web application security is "Do not trust the user input" but it's loosely defined. We should've said "Do not trust any input!" Which input is coming from the user? Web applications are more complicated than they were. Now we have got office applications and shiny Web 2.0 stuff all over the web. Complexity comes with a price tag and lots of hidden layers. A perfect example of a hidden layer is the second order injections where the injection goes into a back-end storage, then directly pulled out from there and used in an SQL Query, pri......

Günlük Okunma : 16 | 13.06.2008

NetBouncer .NET Input/Output Validation Library's first version is out now. It has got some basic documentation as well as compiled release. It's uses New BSD Licence allows you to integrate into your commercial or non-commercial applications. It's simple yet effective, all input validation is centralised from one place, allows you to integrate your custom plug-ins and custom rules. New Rules can be written in XML or in your native .NET language. Designed ASP.NET in mind can be used in any .NET application. Grab the source-code, check it out. If you fancy, contribute. Feel free to report iss......

Günlük Okunma : 3 | 04.08.2007

Beni tanıyorsanız nasıl bazı konularda obsesif olabileceğimi biliyorsunuzdur, bilmiyorsanız da öğrenmiş olduğunuz (tebrikler, zavallı beyninizin bir hücresi daha az önce öğrendiğiniz gereksiz bir bilgi ile telef oldu). Web uygulamalarında input validasyonu da bu konulardan biri. Ben genel güvenlik dogmatik bilgisinin aksine input validasyonu web uygulamalarında kabul etmiyorum (tabii ki önemli ama genelde çözüm ve doğru yol değil). Stop saying input validation, yazısında Pravir benim adıma konuşmuş. Ben de onun gibi sakal bırakacağım! Sonra da anlat babam anlat......