kötü amaçlı HTML Tag'leri

'Güvenlik Programları' forumunda _Mr.PaNiK_ tarafından 10 Ağustos 2008 tarihinde açılan konu

  1. _Mr.PaNiK_

    _Mr.PaNiK_ Üye

    kötü amaçlı HTML Tag'leri konusu Kötü amaçlı HTML Tag'leri

    Bir web sitesi, kasitsiz olarak yada yanlislikla kotu amacli HTML tag'leri iceren sayfalari dinamik olarak, guvenilmeyen kaynaklardan, onaylanmamis girdilere dayanarak, yaratabilir. Bu eger web sunucusu yaratilan sayfalarin, scriptlerin istenmeyen bir sekilde calistirilmasini engellemek icin duzgun bir sekilde encode edilmesini saglamiyorsa bir problem olusturabilir.

    Altyapı:
    Cogu web tarayicilari web sunucusundan indirilen sayfalarin icerisindeki script'leri isleme yetenegine sahiptir. Bu script'ler cesitli dillerde yazilabilir ve istemcinin tarayicisinda calistirilirlar. Cogu web tarayicisi scipt'leri calistirabilme yetenegine default olarak ilk install edildiklerinde sahiptirler.

    Bir istemciden diğerine kötü amaçlı code sağlanması:
    Tartisma gruplarina web arayuzu saglayan siteler, bir kullanicinin, attigi mesajda kotu amacli kod bulundurup, bunu okuyan diger kullanicilarin bundan etkilenmesini engellemek icin uzun zamandir korunma saglamaya calisiyorlar.

    İstemciden istemciye iletisimde bir sunucunun araci oldugu durumlarda, site gelistiricileri bilgi girdileri diger kullanicilara acildiginda guvenilmez olarak tanimlamaktadirlar. Cogu tartisma grubu sunuculari ya bu tip mesajlari kabul etmeyecek yada diger okuyuculara gondermeden once encode/filter edecektir.

    İstemcinin kendisine kotu amacli kod gondermesi:
    Cogu Internet web sunuculari bir istemcinin sadece kendi kullanimi icin kotu amacli kod gonderebilme olasiligini mantiksiz bulur ve onemsemez. Bu cok kolay yapilan bir hata. Ve sonucta, bir kullanici niye sadece kendisinin gorebilecegi bir kotu amacli kod'u girsinki?

    Diger Tag'lerin kotu amacli kullanilmasi:
    Script tag'lerine ek olarak FORM tag'i gibi diger HTML tag'leride bir saldirgan tarafindan kotu amacli kullanilabilir. Ornegin dogru yerlere kotu amacli FORM tag'leri yerlestiren bir saldirgan varolan bir formun davranisini modifiye ederek onemli bilgilere erisebilir. Diger HTML tag'leride sayfanin gorunusunu degistirmede, istenmeyen yada rahatsiz edici sesler veya resimler yerlestirmede kotu amacli kullanilabilir.

    Guvenin suistimal edilmesi:
    Bu guvenlik aciginin en onemli noktasi, yerlestirilen script ile yada falan.com icin kurulan guvenlik konteksti ile calisan HTML ile guvenligin ihlal edilmesi. Bu, gozatanin guvenli bir sekilde etkilesimde bulundugu ve ziyaret edecek kadar ilgilendigi bir site. Ek olarak bu sitenin guvenlik politikasida tehlike altina giriyor.

    Çözüm:
    Kullanicilar icin cozumler

    Kullanicilar tarayicilarinda Scripting dillerini kapatmalidirlar:
    Bu guvenlik acigi, kod calistirilmasi icin gerekli olan scripting dillerinin kurbanin tarayicisinda acik olmasi ile gerceklesebiliyor. Bu acigin en onemli etkisi tum scripting dillerini kapatarak engellenebilir. Bununla beraber saldirganlar yinede URL de HTML tag'leri bulundurarak icerigin gorunusunu degistirebilirler. FORM tag'inin kotu amacli kullanimindan scripting dillerini kapatarak kurtulunamaz. Tarayicinizdaki scripting dillerini kapatmak icin detayli bilgiyi http://www.cert.org/tech_tips/malicious_code_FAQ.html adresinden bulabilirsiniz.

    Web kullanicilari daha dikkatli surf yapmalidirlar:
    Bazi kullanicilar scripting dillerini tamamen kapatamiyor yada kapatmak istemiyorlar. Bu scripting yeteneklerini kapatmak en etkili cozum olmasina ragmen kullanicinin bu guvenlik acigindan etkilenmesini azaltacak bazi tekniklerde uygulanabilir.

    Bu acigin en belirgin varyasyonlari siteden siteye gecis scriptlerinde oldugu icin kullanicilar bir siteyi ilk olarak nasil ziyaret ettikleri konusunda secici olarak biraz korunma saglayabilirler. Bir siteye baglanmanin en guvenli yolu adresi direk olarak tarayiciya yazarak (yada guvenli yerde tutulan lokal bookmark'lardan) acmak.

    Scipting enable edildiginde, linklerin gorsel kontrolu kullaniciyi kotu amacli linkleri takip etmekten koruyamaz. Cunku saldirganin web sitesi linkleri kullanicinin penceresinde farkli gostertebilir. Ornegin Netscape'deki "Goto" ve "Status" cubuklari JavaScript tarafindan kontrol edilebilir.

    Web sayfasi gelistiricileri ve Web sitesi yoneticileri icin çözümler:
    Web sayfasi gelistiricileri ciktiyi onaylamak icin dinamik yaratilan sayfalari tekrar kodlamalilar. Web sitesi yoneticiler ve gelistiricileri bu guvenlik acigindan korunmak icin dinamik olarak yaratilan sayfalarin istenmeyen TAG'leri icermemesine emin olmalidirlar.

    Bilgiyi encode etme ve filtreleme bu guvenlik aciginda onemli bir adim ve karisik bir islem oldugu icin, CERT/CC bu konuda yardimci olabilecek bir dokuman hazirlamis:
    http://www.cert.org/tech_tips/malicious_code_mitigation.html

    Web Sunucusu yoneticileri gerekli patchleri kurmalidirlar:

    Apache
    http://www.apache.org/info/css-security

    Microsoft
    http://www.microsoft.com/security

    Sun Microsystems, Inc.
    http://sun.com/software/jwebserver/faq/jwsca-2000-02.html
     
  2. Google

    Google Özel Üye

    Paylasim için tesekkürler
     

Bu Sayfayı Paylaş