husonet | Tarih: 21.04.2017
ASP.NET güvenli web uygulaması geliştirmek
Asp.net ile uygulama geliştirmede dikkat edilmesi gerekenler ve püf noktalar
Merhabalar arkadaşlar, (Not:Lütfen öneri ve sorularınızı yorum olarak atınız. Teşekkürler şimdiden)
Bu yazımda asp.net ile uygulama yazarken dikkat edilmesi gereken bazı hususları ele alacağım.
Asp.net web tabanlı uygulama heryere açık kullanıldığından saldırı olma olasılığı çok yüksek uygulamalardır.
Hem saldırılara karşı hem de olacak bug'lar sorunlara neden olabilmektedir. Bu yazımda konu başlıklarından bahsedip farklı makalelerimde de onları açıklamayı hedeflemekteyim. Aşağıda konuları başlıklarını ele aldım. Farklı yazılarımda aşağıdaki konuları açıklayacağım.
Sql injection zaafiyetine karşı önlemler almalısınız. ( https://www.pythontr.com/makale/sql-injection-nedir-559 linkinden açıklamasına ulaşabilirsiniz.)
Xss türlerine karşı önlem alın. xss türleri:Reflected XSS - Stored XSS - DOM XSS.
Zorunlu alanları[/i]n sadece javascript ile değil veri işlenirken de kontrollerini gerçekleştirin.
Verilerin veri tabanındaki max karakterlerini göz önünde bulundurarak programı bug'a düşürmek isteyen kullanıcıya karşı max karakter kontrolü de gerçekleştirin.
Web tarayıcılarının cachelenemsinden dolayı gizli verilere ulaşılmasına karşın cachelenmeyi kapatabilirsiniz.
Session kullanımlarında çıkışlarda session yenilenmesini ve sesion timeout süresi olmasına özen gösterin.
Siteler arası istek sahteciliği (CSRF)'ye k önlemlerinizi alın.CSRF ile ilgili detay için tıklayınız.
Hata mesajlarını kötü kullanıcının enumarate oluşturarak uygulamadan bilgi sahibi olmasını sağlanmayacak şekilde olmasına özen gösterin.
Web uygulaması herkese açık olduğundan her türlü denemelerle bulunabilecek dışarıya açık sayfalar bulundurmayın.
Hata olduğunda kötü niyetli kişiye herhangi bir bilgi vermemek adına hata sayfaları oluşturarak oraya yönlenmesini sağlayın.
Http-only ve secure flag'larını true olmasına özen gösterin.
Uygulama havuzunun şişmemesi adına sql bağlantılarını sağlayacak nesneyi "using" yaşam aralığı içinde yapın.
Herhangi bir şartların kontrollerini sade olmasına özen gösterin.
Kullanıcı girişlerinde parolaların brute force ataklara karşın belirli kural çerçevesinde oluşturulmasını sağlayın.
Parola değiştirme de eski parolayı isteyin. Uygulamayı aktifken yakalayan bir kötü niyetli kullanıcının şifreyi değiştirmesine izin vermeyin.
web.config dosyası da uygulama yönetimi için önem teşkil etmektedir.
Uygulama yedeğini alın. Herhangi bir nedenden dolayı sistem çöktüğünde bunu kısa sürede faaliyete geçirmek adına yedekleme önemlidir.
Uygulama loglarını belirli aralıklarla kontrollerini sağlayın.
Uygulama geliştirirken her kullanıcının kötü niyetli olabileceği olasılığını göz önünde bulundurulmalıdır.
web.config konfigurasyonlarını yaparken dikkat edin. Bunla ilgili linkten konfigurasyon hata ve çözümlere ulaşabilirsiniz.
web.config de bulunan connectionstring bilgilerinin şifreli olması. (insecure transport database ve passqord manangament açığına neden olur)https://www.pythontr.com/makale/aspnet-webconfig-connectionstring-sifreleme-561
Dosya yükleme alanlarınız varsa, orada dikkatli olun.Bunla ilgili makale için link e tıklayınız.