Pythontr

husonet | Tarih: 21.05.2017

ASP.NET Web.config dosyasındaki en kötü 5 hata

ASP.NET Web.config dosyasındaki en kötü 5 hata ve çözümü

Merhabalar Arkadaşlar, (Not:Lütfen öneri ve sorularınızı yorum olarak atınız. Teşekkürler şimdiden)


  • Custom Errors

CustomErrors etiketi system.web tagları arasında kullanılır. Bu etiket sistem hatayla karşılaştığında hata mesajı vermek yada vermemek için kullanılır. Burada yapılan kritik hata aşağıdaki şekildedir.


<System.web>
<CustomErrors mode= "off">
</System.web>

CustomError'un mod özelliği off yerine RemoteOnly olmalıdır.Güvenli kullanışı aşağıdaki şekildedir.


<System.web>
<CustomErrors mode = "RemoteOnly">
</System.web>

Ya da aynı yapılandırma hata ile karşılaşıldığında bir özel hazırlanmış sayfaya yölendirilmesi isteniyorsa DefaultRedirect kullanılabilir. Örneğin hata.aspx sayfası hazırladık. Ve 403, 404, 500 http hata kodları gerçekleştiğinde bu sayfaya yönlendirilmesini istiyoruz.Bunu aşağıdaki şekilde ayarlayabiliriz.

 <customErrors mode="On">
<error statusCode="403" redirect="~/hata.aspx"/>
<error statusCode="404" redirect="~/hata.aspx"/>
<error statusCode="500" redirect="~/hata.aspx"/>
</customErrors>

Aynı zamanda her durumda yölendirilmenin sağlanması için <system.webserver> etiketi arasına aşağıdaki satırları eklemeliyiz.

<httpErrors errorMode="Custom">
<remove statusCode="403" subStatusCode="-1"/>
<remove statusCode="404" subStatusCode="-1"/>
<remove statusCode="500" subStatusCode="-1"/>
<error statusCode="403" path="/hata.aspx" responseMode="Redirect"/>
<error statusCode="404" path="/hata.aspx" responseMode="Redirect"/>
<error statusCode="500" path="/hata.aspx" responseMode="Redirect"/>
</httpErrors>

  • Tracing

Uygulamada bulunan tüm sayfaları ayrı ayrı izlemek yerine uygulamanın tek yerinde izlememizi sağlayan etikettir. Uygulama yapım aşamasında sayfaları izleyip bize trace viewer de tüm ayrıntıları sağlar. Bunun için hatalı kullanım aşağıdaki şekildedir.


<system.web>
<trace enabled=”true” localOnly=”false“></system.web>

Bunun için uygulamayı izlemelerini takip etmek adına güvenli kullanım aşağıdaki şekildedir.

<system.web>
<trace enabled=”false” localOnly=”true“>
</system.web>

  • Debugging

ASP.NET web tabanlı uygulamasını geliştirme aşamasında debug özelliği true olarak ayarlanmaktadır. Böylece hata ayıklamayı aktif etmiş oluruz. Buradaki yapılan krtik hata uygulama ürün haline getirildiğinde hata ayıklama modunu açık olarak unutmaktır. Güvenli olan, uygulama ürün halinde geldiğinde bu özelliği false olarak setlemektir. Aşağıda test ve geliştirme aşamalarında setlenecek debug özelliği örnek satırını paylaşacağımm.

<system.web>
<compilation debug=”true“>
</system.web>

Bir de güvenli debug setlemesini aşağıda belirteceğim.

<system.web>
<compilation debug=”false“>
</system.web>

  • HttpOnly

HtppOnly, microsoft'un İnternet Explorer 6.0 sürümünde sunduğu bir özelliktir.


Bu özellik ile kötü amaçlı bir saldırganın siteye javascript ekleyip sitede xss zaafiyetine sebep olacak hasarlar vermesini engellemektedir. Bunu site içinde ayarlanaabileceği gibi configurasyon yani web.config içinde de ayarlamak mümkündür. Aşağıdaki kullanım siteyi gelebiecek herhangi bir saldırısına açık hale getiren konfigusaryon ayarlarıdır.

<system.web>
<httpCookies httpOnlyCookies=”false“>
</system.web>

Bu kullanım istenmeyen bir kullanımdır. Güvenli kullanım aşağıdaki gibidir.

<system.web>
<httpCookies httpOnlyCookies=”true“>
</system.web>

  • sessionState


SessionState, web uygulamalarında oturum durumu konfigurasyonlarıdır.Bu konfigurasyonda yapılan güvensiz olarak belirtebileceğimiz ayar Cookieless özelliğinin kullanımıdır. Cookieless, kullanılan oturum bilgisi (SessionID)'nin url'de mi yoksa cookielerde mi göülü olarak tutulacağını ayarladığımız özelliktir. Bunun için güvensiz kullanım aşağıdaki şekildedir.

<system.web>
<sessionState cookieless=”UseUri“>
</system.web>

UseUri kullanımı url'de gömülü olacağını bildirdiğimiz ayardır. Bunun yerine aşağıdaki kullanım olarak sunucu bazlı olarak cookie'lerde gömülü olarak saklanması daha güvenli olacaktır. Aşağıdaki bu güvenli kullanımı paylaşacağım.

<system.web>
<sessionState cookieless=”UseCookies“>
</system.web>

Güvenli uygulamalar!