30 Ekim 2010 Cumartesi

1.1: Oturum Yönetimi (Session Management)

HTTP Protokolünde Oturum Yönetimi

  • Bir istek yaparsınız sunucuya, size cevap döner, ikinci bir istek yaptığınızda sizi tanımaz. İsterseniz aynı IP'den girmiş olun. Halbuki örneğin bir bankacılık uygulamasında bir kez login olduğunuzda defalarca istek yaparsınız ve sunucu sizi tanır. Tanıması oturum yönetimiyle olur. Genelde cookie'ler aracılığıyla oturum yönetilir.
  • session.start(); => Bu andan itibaren artık bir cookie var.
  • Cookie'yi çaldırmak çok kötü. Çalan, artık sizmişsinizi gibi o sitede oturuma devam edebilir.

Same Origin Policy (SOP)

  • Aynı kaynak politikası. Web scripting dillerinin (javascript mesela) güvenlik sınırlarını belirleyen en önemli kural.
  • Kaynak şunlardan oluşur:
    • Protokol (http, ftp, mailto vs)
    • Domain name (alan adı) (www.google.com gibi)
    • Port
  • İki kaynağın aynı olduğu kararı için bu 3 bilginin aynı olması gerek ve yeter şart.
  • NOT: www.google.com ile google.com domainleri FARKLI olarak değerlendirilir (www.google.com subdomaindir).
zaman:
Etiketler: ,

Hiç yorum yok:

Yorum Gönder

Kaydol: Kayıt Yorumları (Atom)

Web Uygulama Sızma Testleri İçin Kontrol Listeleri - V

Checklist for Web App Pentesting - V 6. Veri Denetimi (Data Validation) Testleri 6.1 Girdi Denetimi Bütün girdiler denetlenmelidir....