lostyazilim
tr.link

Site güvenlik açığı

8 Mesajlar 1.418 Okunma
lstbozum
tr.link

coderfree coderfree WM Aracı Kullanıcı
  • Üyelik 26.03.2016
  • Yaş/Cinsiyet 39 / E
  • Meslek Bilişim
  • Konum Antalya
  • Ad Soyad M** A**
  • Mesajlar 58
  • Beğeniler 8 / 6
  • Ticaret 0, (%0)
Arkadaşlar web sitemin bir dizinde güvenlik taraması sonucu orta düzey açık olduğu tespit edildi. Dizindeki sayfayı asp.net ile yaptım. Açık raporu şu şekilde;

form name: "form1" form action: "default.aspx" Strings extracted from VIEWSTATE: "36442047 Texted "

Bunun enableviewstate ile bir ilgisi olabilir mi? Hata kaynağı nedir veya çözüm ne olabilir?
 

 

wmaraci
reklam

turudu turudu WM Aracı Kullanıcı
  • Üyelik 24.07.2016
  • Yaş/Cinsiyet 40 / E
  • Meslek Yazılım Geliştirme Uzmanı
  • Konum İstanbul Avrupa
  • Ad Soyad L** T**
  • Mesajlar 165
  • Beğeniler 2 / 55
  • Ticaret 0, (%0)
Güvenlik taramasını hangi araç ile yaptınız.
 

 

coderfree coderfree WM Aracı Kullanıcı
  • Üyelik 26.03.2016
  • Yaş/Cinsiyet 39 / E
  • Meslek Bilişim
  • Konum Antalya
  • Ad Soyad M** A**
  • Mesajlar 58
  • Beğeniler 8 / 6
  • Ticaret 0, (%0)
Tarama, çalıştığım kurum merkezi tarafından yapılmış. Gönderilen rapora göre Acunetix ile taratılmış. Acunetix'e kendim üye olup tarama yaptırdım ama düşük riskli açık bulabildi.

Raporda ayrı açık türü olarak Unencrypted __VIEWSTATE parameter belirtilmiş.
Form1 için enable viewstate değerini false yapsam çözülür mü acaba?
 

 

localhost localhost Atatürk! Kullanıcı
  • Üyelik 13.03.2016
  • Yaş/Cinsiyet 37 / E
  • Meslek Yazılımcı
  • Konum İstanbul Avrupa
  • Ad Soyad E** K**
  • Mesajlar 335
  • Beğeniler 145 / 144
  • Ticaret 2, (%100)
https://www.acunetix.com/vulnerabilities/web/unencrypted-__viewstate-parameter

Machine key oluşturucu;
http://www.developerfusion.com/tools/generatemachinekey/
http://www.codeproject.com/Articles/16645/ASP-NET-machineKey-Generator
 

 

https://roe.com.tr
wmaraci
wmaraci

turudu turudu WM Aracı Kullanıcı
  • Üyelik 24.07.2016
  • Yaş/Cinsiyet 40 / E
  • Meslek Yazılım Geliştirme Uzmanı
  • Konum İstanbul Avrupa
  • Ad Soyad L** T**
  • Mesajlar 165
  • Beğeniler 2 / 55
  • Ticaret 0, (%0)
@coderfree bence çözülür. Test aracı biraz ilkel gelebilir ama https://www.virustotal.com/ adresi üzerinde de bir test yapabilir misiniz. Form1 için enable viewstate değerini false yaparsanız bence sorun çözülür gibi geliyor. Emin değilim. @localhost çözüm önerisi de denenebilir ama sunucu üzerinde böyle bir hakkınız var mı bilmiyorum.
 

 

coderfree coderfree WM Aracı Kullanıcı
  • Üyelik 26.03.2016
  • Yaş/Cinsiyet 39 / E
  • Meslek Bilişim
  • Konum Antalya
  • Ad Soyad M** A**
  • Mesajlar 58
  • Beğeniler 8 / 6
  • Ticaret 0, (%0)
localhost ve turudu yorumlarınız için çok teşekkür ederim, sanırım sorunu halledebileceğim.
 

 

ontedi ontedi www.ontedi.com Kullanıcı
  • Üyelik 03.10.2013
  • Yaş/Cinsiyet 44 / E
  • Meslek Yazılım Uzmanı, Matematikçi
  • Konum Ankara
  • Ad Soyad S** T**
  • Mesajlar 1118
  • Beğeniler 325 / 324
  • Ticaret 2, (%100)
Hocam, viewstate ile bir şeyler taşımıyorsan kapatabilirsin. Hatta form etiketini bile sayfadan kaldırabilirsin.
 

 

www.ontedi.com
www.cizgi.site

ebubekirbastama ebubekirbastama WM Aracı Kullanıcı
  • Üyelik 16.06.2016
  • Yaş/Cinsiyet 34 / E
  • Meslek White hacker,Yazılım Eğitmeni
  • Konum İstanbul Anadolu
  • Ad Soyad E** B**
  • Mesajlar 15
  • Beğeniler 5 / 3
  • Ticaret 0, (%0)
Çözebildinizmi bilmiyorum ama yapacağınız şudur.
Web Config dosyasını aç bu kodları ekle sorunun çözülsün.



 

 

Dünyaya hakim olmak için teknolojiye hakım olmamız gerekmektedir.
wmaraci
wmaraci
Konuyu toplam 1 kişi okuyor. (0 kullanıcı ve 1 misafir)
Site Ayarları
  • Tema Seçeneği
  • Site Sesleri
  • Bildirimler
  • Özel Mesaj Al