Web Projelerinde Editör Güvenliği
Konuyla İlgili Olabilecek Diğer Yazılar
Asp.net Uygulamalarında Namespace ve Class Kullanımı
Css and Html Web Disayn
Geliştirdiğim Uygulamalar Bölümü
Web.config'de Dosya Upload için Gereken Ayarlar
Kullandığım Email Sınıfı (Çoklu Mail ve Dosya Gönderimi)
Bu yazımda web projelerinde çok fazla kullanılan html editörler ile ilgili güvenlik sorunlarından bahsedeceğim. Editörleri kullanmamızın en büyük nedeni html kodlamalarla uğraşmamızı engellemesi ve bileşenler sayesinde dosya işlemleri gibi işlemleri kolaylıkla yapabilmemizdir. Güvenlik sorunları da dosya işlemlerini gerçekleştirme aşamasında ortaya çıkmaktadır. Örnek verecek olursak kendi bloğumda kullandığım ve birçok projede kullanılan FCK editörün dosya işlemlerini yapan bölüm. Bu editörün dosya işlemlerini gerçekleştiren bölümü (kontrol edilmediyse) herkese açık. Bu bölüme ulaşan herkes editörü kullandığımız servera istediği her türlü dosyayı yükleyebilecektir. Bunun için editör kullanırken çok dikkatli olmalıyız.
Editörleri seçerken tercih edilen noktalardan en önemlisi dosya işlemlerini yapabilmesidir. Ancak bu işlem editörü kullanacağımız proje için tehlikeli arz etmekte. Eğer dışarıdan dosya işlemlerini yapan sayfalara erişim varsa bu bölüme erişen herkes sunucumuza istediği her türlü dosyayı (resim, script, virüs, vb.) yükleyebilecektir. Bu durumda bant genişliği, virüs saldırıları, sunucu yavaşlaması, hack gibi sorunlar olacaktır. Örnek olarak kullandığım editör olan FCK editörün dosyaları içinde yer alan ve upload işlemini gerçekleştiren bölüme herkes erişebilmekte. Buraya erişmek ise projemizi büyük bir tehlikeyle karşı karşıya bırakmakta. Örnek verecek olursak FCK editörde "..../filemanager/browser/default/frmupload.html" sayfası ile upload işlemi yapılmakta. Editör yolunu tam bilen biri bu adrese girdiğinde açılan bölümden istediği dosyayı yükleyebilmektedir. Bunun dışında dosya listesini veren sayfaya ("..../filemanager/browser/default/frmresourceslist.html") girildiğinde de tüm dosyalar görüntülenecek ve bu dosyalara dışarıdan erişim müsait olacaktır.
Güvenlik Önlemleri ve Yapılacaklar
Peki bu güvenlik sorununu engellemek için yapabileceklerimize bakalım.
Öncelikle ilk yapabileceğimiz iş editör seçim işi. Eğer dosya işlemlerine ihtiyaç duymuyorsak bu işlemleri yapmayan editörleri tercih etmeliyiz. Ancak dosya işlemlerine genellikle ihtiyaç duyulduğu için bu adımı atlayabiliriz.
İkinci yöntem olarak (kullandığım yöntem) editör dosyalarına direk erişimi kısıtlamaktır. Bu yöntem ile erişim kısıtı olan herhangi bir klasör içinde editör dosyalarımızı tutabiliriz. Böylece dışarıdan dosyalara erişmeye çalışanlar sayfalara erişemeyecektir. Klasör kısıtı ise .Net projelerinde üyelik sistemi ile çok rahat bir biçimde yapılabilmektedir. Bu şekilde kendi sitemde kullandığım editör dosyalarını koruma altına aldım. Dışarıdan erişim veya sunucuma dosya yüklemek mümkün değil. Yapabilmek için admin girişi yapılması gerekiyor.
Eğer kontrol işlemi ile uğraşmak istemiyorsak editör dosyalarını koyacağımız dizini iyi seçmemiz gerekir. Örneğin klasör ismini kimsenin tahmin edemeyeceği bir terim koyabiliriz. Bu şekilde de kısmen editör dosyalarına erişimi, saldırıları kısıtlayabiliriz.
Proje ve sunucu güvenliğimiz için hazır olarak kullandığımız editör gibi bileşenleri kullanırken çok dikkatli olmalıyız. Aksi halde yukarıda belirtmiş olduğum açıklar ile biraz bilgisi olan herkes projemize zarar verebilir. Hack olmayan ancak yapacakların hack dedikleri olaylar ile karşı karşıya kalabiliriz. Bunların önüne geçmek için tüm tedbirleri almalıyız.
Bu yazımı bu açığı farkettiğim dönemde (yaklaşık 6 ay öncesi) yazmak istemiştim. Ancak fırsat bulamamam nedeniyle ve FCK editör güvenliği hakkında bir arkadaşımızın sorusu üzerine bu yazımı hazırladım. Umarım bundan sonra hem FCK kullanacaklar hem de dosya işlemini yapan herhangi bir editör kullanacaklar bu sorunları göz önüne alırlar.
İyi Çalışmalar.
Editörleri seçerken tercih edilen noktalardan en önemlisi dosya işlemlerini yapabilmesidir. Ancak bu işlem editörü kullanacağımız proje için tehlikeli arz etmekte. Eğer dışarıdan dosya işlemlerini yapan sayfalara erişim varsa bu bölüme erişen herkes sunucumuza istediği her türlü dosyayı (resim, script, virüs, vb.) yükleyebilecektir. Bu durumda bant genişliği, virüs saldırıları, sunucu yavaşlaması, hack gibi sorunlar olacaktır. Örnek olarak kullandığım editör olan FCK editörün dosyaları içinde yer alan ve upload işlemini gerçekleştiren bölüme herkes erişebilmekte. Buraya erişmek ise projemizi büyük bir tehlikeyle karşı karşıya bırakmakta. Örnek verecek olursak FCK editörde "..../filemanager/browser/default/frmupload.html" sayfası ile upload işlemi yapılmakta. Editör yolunu tam bilen biri bu adrese girdiğinde açılan bölümden istediği dosyayı yükleyebilmektedir. Bunun dışında dosya listesini veren sayfaya ("..../filemanager/browser/default/frmresourceslist.html") girildiğinde de tüm dosyalar görüntülenecek ve bu dosyalara dışarıdan erişim müsait olacaktır.
Güvenlik Önlemleri ve Yapılacaklar
Peki bu güvenlik sorununu engellemek için yapabileceklerimize bakalım.
Öncelikle ilk yapabileceğimiz iş editör seçim işi. Eğer dosya işlemlerine ihtiyaç duymuyorsak bu işlemleri yapmayan editörleri tercih etmeliyiz. Ancak dosya işlemlerine genellikle ihtiyaç duyulduğu için bu adımı atlayabiliriz.
İkinci yöntem olarak (kullandığım yöntem) editör dosyalarına direk erişimi kısıtlamaktır. Bu yöntem ile erişim kısıtı olan herhangi bir klasör içinde editör dosyalarımızı tutabiliriz. Böylece dışarıdan dosyalara erişmeye çalışanlar sayfalara erişemeyecektir. Klasör kısıtı ise .Net projelerinde üyelik sistemi ile çok rahat bir biçimde yapılabilmektedir. Bu şekilde kendi sitemde kullandığım editör dosyalarını koruma altına aldım. Dışarıdan erişim veya sunucuma dosya yüklemek mümkün değil. Yapabilmek için admin girişi yapılması gerekiyor.
Eğer kontrol işlemi ile uğraşmak istemiyorsak editör dosyalarını koyacağımız dizini iyi seçmemiz gerekir. Örneğin klasör ismini kimsenin tahmin edemeyeceği bir terim koyabiliriz. Bu şekilde de kısmen editör dosyalarına erişimi, saldırıları kısıtlayabiliriz.
Proje ve sunucu güvenliğimiz için hazır olarak kullandığımız editör gibi bileşenleri kullanırken çok dikkatli olmalıyız. Aksi halde yukarıda belirtmiş olduğum açıklar ile biraz bilgisi olan herkes projemize zarar verebilir. Hack olmayan ancak yapacakların hack dedikleri olaylar ile karşı karşıya kalabiliriz. Bunların önüne geçmek için tüm tedbirleri almalıyız.
Bu yazımı bu açığı farkettiğim dönemde (yaklaşık 6 ay öncesi) yazmak istemiştim. Ancak fırsat bulamamam nedeniyle ve FCK editör güvenliği hakkında bir arkadaşımızın sorusu üzerine bu yazımı hazırladım. Umarım bundan sonra hem FCK kullanacaklar hem de dosya işlemini yapan herhangi bir editör kullanacaklar bu sorunları göz önüne alırlar.
İyi Çalışmalar.
Mehmet Duran
14 Haziran Pazar 2009
3
15240
5,0
Yorumlar
Yorum Yaz
RSS Yorum Takibi
FCK Editor, iyi bir HTML editor olmakla birlikte, sayfanın içine Dreamweaver gömülmüş hissi veriyor ki bazen çok gereksiz... Gereği olmayan bileşenleri çıkarsanız dahi, bu sefer görünümü kötü... Bence diğer alternatifler de denenebilir. nicEditor gibi. Hem, AJAX 3.5 bileşeni olan editorün nesi var ki :) Niye kimse onu kullanmaz???
FCK editör`ün son sürümlerinde de Ajax desteği var ve görsellik bayağı geliştirilmiş. Ancak dediğim gibi güvenlik açıkları her editörde olabilir. Kullanırken dikkatli olmalıyız.
Ben nicedit öneriyorummm...
Buradan bu yazıya ait yorumları RSS olarak takip edebilirsiniz.
Bu servis ile yazılara eklenen yorumları RSS ile takip ederek konu ile ilgili başkaları tarafından yapılan yorumları veya konuyla ilgili sorduğunuz sorulara verilen cevapları görebilirsiniz.
Bu servis ile yazılara eklenen yorumları RSS ile takip ederek konu ile ilgili başkaları tarafından yapılan yorumları veya konuyla ilgili sorduğunuz sorulara verilen cevapları görebilirsiniz.
Şans bir uğraşının eseridir.
Bölümler
Yazılar
Arşiv
Arama
Linkler
Kategoriler
Asp.net (136)
C Sharp (73)
Veritabanı (61)
Asp.net MVC (40)
jQuery (109)
Javascript (91)
Web Tasarım (67)
Güncel (135)
Diğer (137)
Programlar (19)
E-Book (32)
Ajax (58)
Flash (3)
Asp (8)
Etiketler
Access
Benden
Blog
Class
Css
Donanım
Editör
Fotoğraf
Futbol
Google
Güvenlik
Hayat
Hosting
IP
İndir
İnternet
Jquery
Linq
List
Microsoft
MVC
MySql
Okul
Özel Günler
Programlama
Proje
Resim
Rss
SEO
Silverlight
Site Araçları
Sitemap
Sql
Sql Server
Staj
Takvim
Tanıtım
Tarih
Tasarım-Görsellik
Teknoloji
Tema
UML
URL
User Control
Visual Studio
XML
XNA
Yazılım
Rastgele Yazılar
Yeni Bir Final Dönemi
Ücretsiz Site Araçları
Access ile Asp.net'te Üyelik Sistemi
Asp.net ve Veritabanı ile XML Oluşturma ve Xsl il ..
Javascript ile Mouse Pozisyonunu Bulma
C Sharp'ta Operatör Overloading
Site Haritası Bölümü Hazır
MySql'de limit ve rand Kullanımı
Son Yorumlanan Yazılar
Jquery'de Tanımlayıcı Değiştirme
mehmetduran.com 3 Yaşında
C# ile Insertion Sort Algoritması
C# ile Merge Sort Algoritması
C# ile Quick Sort Algoritması
Jquery ve Ajax ile Kullanıcı Kontrollerini Kullan ..
Javascript ile Mouse Pozisyonunu Bulma
Javascript ile Asp.net'te Kendi Validation'larımı ..
Çok Okunan Yazılar
'Mehmet' İsminin Anlamı Nedir?
Asp.net ile Dinamik Site Yapımı (Örnek Uygulama)
Flash Banner Reklam Yapma Programı
Emu 8086'da Hazırladığım Assembly Örnekler
İnner Join ile Tabloları Bağlama
Jquery ile Haber Manşet Alan Yapımı (Manşet Uygul ..
Fck Editör Kullanımı
Asp ile FCK Editör Kullanımı
Son Eklenen Yazılar
Askerliğin Ardından
O Şimdi Asker
Kara Suratlı Bir Garip - Neşet Ertaş
mehmetduran.com 4 Yaşında
mehmetduran.com 3 Yaşında
Citroen C3 Picasso Sahibiyiz
Hayatımdaki Gelişmeler
Asp.net MVC ile İlgili Birkaç Bilgi
Arşiv
Nisan 2015 (1)
Mayıs 2014 (1)
Eylül 2012 (1)
Nisan 2012 (1)
Nisan 2011 (1)
Ağustos 2010 (1)
Temmuz 2010 (3)
Haziran 2010 (4)
Mayıs 2010 (2)
Nisan 2010 (4)
Mart 2010 (2)
Şubat 2010 (3)
Takvim
Site İçi Arama
Geliştirdiğim Uygulamalar - Linkler
Jquery ve Ajax ile Geliştirdiğim Uygulamalar
Jquery ve Ajax ile Geliştirdiğim Fotoğraf Galerisi
jQuery Ajax ile (Google) Arama Merkezi
Google Pagerank ve Backlink Sorgulama
Sayfalar
Son Zamanlarda Ne Yapıyorum ?
İstatistikler - Araçlar - Reklam
Mehmet Duran | mehmetduran.com | Copyright © 2009