30 Mayıs 2010 Pazar

1: Web Standartları

Bilgi Güvenliği Akademisi tarafından verilen Web Application Pentest eğitimi kısa notları, "Web App Pentest Eğitimi" başlığı altında bir yazı dizisi olarak yayınlanacaktır.


Web Standartları


Temel Kavramlar
  • HTML'in 1999 yılında 4.01 standardı yayınlandı.
  • XHTML, XML yazım formatına uyan HTML anlamına gelir. Temel olarak HTML'den daha formal ve sıkı bir dil olarak karşımıza çıkar.
  • HTML kaynak kodu incelemek için kullanılabilecek eklentiler:
    • Firefox için FireBug
    • İnternet Explorer için DebugBar
  • CSS (Cascading Style Sheet): Stil şablonlarıdır. HTML içinde kullanılacak stilleri bir kere tanımlar, farklı bölümlerde dilediğiniz kadar kullanırsınız.
    • CSS'ler HTML kodlarının içine yazılır; türüne göre body yada head'de olabilirler. Bununla birlikte harici CSS dosylaraı oluşturulup HTML içinden de çağırılabilirler.
  • Javascript: İstemci tarafında kod çalıştırma için 1996'da LiveScript geliştirildi; sonra adı Javascript olarak değiştirildi. Java'nın popülaritesinden faydalanmak için bir ayak oyunu sadece, başka birliktelikleri yok. Javascriptler, borwser'lar dışında Adobe Acrobat, Photoshop gibi ürünlerde de kullanılıyor.
    • HTML içinde 3 şekilde kullanılabilir: 
      • Dışarıdan dosya ile,
      • Sayfa içi,
      • Event handler içinde.
  • DHTML (Dynamic HTML): Daha interaktif web sayfaları oluşturmak için bazı teknolojilerin birarada kullanılmasından ibarettir; Bir standart değildir. Teknolojiler:
    • HTML
    • Javascript
    • Document Object Model (DOM)

HTTP Request - Response
  • Bazı HTTP Request'ler:
    • GET: En fazla kullanılan istek. Bir URL yazıp enter'a basıldığında bu tip istek yapılır.
    • POST: GET'ten farkı Content-Length header ve sonrasında bir boşluk(!). Genelde login sayfaları POST kullanır.
  • Bazı HTTP Response'lar:
    • 200 OK: Sunucu diyor ki: Ben senin isteğini anladım, benim için tamamdır. Ve cevabını yolluyor. Gönderdiği HTML dosyasının BODY kısmına cevabını basıyor.
    • 404 NOT FOUND: Sunucu diyor ki: Bende yok, bulamadım. Bazı uygulamalar, bulamadıkları zaman da 200 OK dönüyor, standartlara aykırı olarak. Uygulamayı taramak istediğimizde bu durum bizim için önem kazanıyor.
    • 302 FOUND: Sunucu diyor ki: Buldum senin kaynağı ama başka yerde. Location, HTTP header içinde gönderilir.
  • HTTP proxy kullanım amaçları:
    • Güvenlik kontrolleri (Güvenlik duvarları vb)
    • HTTP cevap zamanını kısaltmak
    • Hata ayıklama veya denetim amaçlı (Kişisel vekiller. En popülerleri: WebScarab, Burp, Paros).
    zaman:
    Etiketler: ,

    Hiç yorum yok:

    Yorum Gönder

    Kaydol: Kayıt Yorumları (Atom)

    Web Uygulama Sızma Testleri İçin Kontrol Listeleri - V

    Checklist for Web App Pentesting - V 6. Veri Denetimi (Data Validation) Testleri 6.1 Girdi Denetimi Bütün girdiler denetlenmelidir....