- İş mantığı açıklıkları, şüpheci yaklaşımın en sağlam uygulanması gereken alandır. Çünkü bu tür açıklıklar, otomatik açıklık tarayıcılarıyla yakalanamaz.
- İş mantığı açıklıkları:
- Şifremi unuttum: En sevdiğiniz renk nedir gibi cevap uzayı dar olan soruların tahmini kolay olacaktır.
- Finansal algoritmalar: Parasal alanlara negatif değer girilebiliyor mu? Yada miktar alanına...
- Teknik olmayan hizmet dışı saldırıları: Sinema koltuk rezervasyonu. Alma işlemini başlatıp sonlandırmadan ekranı kapatıyorum, o koltukları benim için lock’lıyor. Sonra başka koltuklarda aynı işi yapıyorum… bir sürü lock’lı koltuk oluyor.
- İstemci taraflı veri kontrolü: Sadece istemci tarafında kontrollü yapılan zorunlu alanlar veya maksimum karakter sayısı kısıtları. Kişisel proxy'lerle ve browser plugin'leri ile çok rahat aşılabilir bu tür kontroller.
- Time of check, time of use: 5 TL iken hisse senedini alacağım diye sepete atıyoruz, sonra bekliyoruz, 10 TL’ye çıktığında al emri veriyoruz.
- Integer overflow: topladığımız 2 integer alan var, toplamı integer’ın üst sınırından büyük olursa negatif değer döner. Uygulama bu duruma hazırlıklı mı?
30 Mayıs 2010 Pazar
3: İş Mantığı Denetimi
Kaydol:
Kayıt Yorumları (Atom)
-
& (%26) URL sorgu tümcesindeki parametreleri mesaj gövdesinden ayırmada kullanılır. = (%3d) URL sorgu tümcesindeki parametrelerin i...
-
Checklist for Web App Pentesting - V 6. Veri Denetimi (Data Validation) Testleri 6.1 Girdi Denetimi Bütün girdiler denetlenmelidir....
-
OWASP'ın 2010 yılı için açıkladığı en önemli 10 güvenlik riski ve bunlar için en faydalı araçlardan birer örnek, bu yazının konusunu ol...
Hiç yorum yok:
Yorum Gönder