C ile Kötü Niyetli Dosya Çalıştırma
1 sayfadaki 1 sayfası
C ile Kötü Niyetli Dosya Çalıştırma
Web uygulamanıza FileUpload ile dosya yüklemesi yapmak durumunda iseniz
gelen dosyanın türünü mutlaka denetlemek gerekir. Örneğin bir Forum
uygulaması yaptınız ve kullanıcılar kendi resimlerini resimler
klasörüne upload edebilmekteler. Saldırgan hazırlamış olduğu bir asp
sayfasını resimler klasörüne upload eder ve [Linkleri görebilmek için üye olun veya giriş yapın.] şeklinde tam yolu yazarak dışardan göndermiş olduğu bir dosyayı sisteminizde çalıştırabilir.
Bu şekilde sisteminizin izin verdiği ölçüde yeni dosyalar
oluşturabilir. Örneğin anadizinde ki default.aspx dosyasını silip
yerine bir default.asp dosyası oluşturabilir. Böylece siteniz
açıldığında “hacked by ++++++ ana” yazısı ile karşılaşabilirsiniz.
Böyle üzücü durumların yaşanmaması için sisteminize upload edilen dosyaların türünü denetlemek gerek.
Bunun için System.IO.Path ve System.Text.Regex namespacelerinden yararlanacağız.
Önce upload edilen dosyasın uzantısı nı alacağız ve kabul ettiğimiz dosya türleri içerisinde olup olmadığını denetleyeceğiz.
string uzanti = System.IO.Path.GetExtension(FileUpload1.PostedFile .FileName);
System.IO.Path.GetExtension metodu uzntıyı bize “.jpg” gibi noktalı bir şekilde verir.
Kullanıcı tarafından gönderilen dosya ismi büyük harfler ile yazılmış
olabilir. Buda birazdan yapacağımız karşılaştırmada farklıymış gibi
algılanmasına sebep olur. Bu yüzden uzantı harflerini küçültelim.
uzanti = uzanti.ToLower();
Kabul edeceğimiz dosya uzantıları için teker teker if kontrolü yazmamak için Regular Expression ifadelerinden yararlacağız.
using System.Text.RegularExpressions;
.....
if(Regex.IsMatch(uzanti,".jpg|.jpeg|.gif|.png|.bmp ") == false)
{
// gönderilen dosya formatı uygun değil
}
else
{
// gönderilen dosya formatı uygun.
}
gelen dosyanın türünü mutlaka denetlemek gerekir. Örneğin bir Forum
uygulaması yaptınız ve kullanıcılar kendi resimlerini resimler
klasörüne upload edebilmekteler. Saldırgan hazırlamış olduğu bir asp
sayfasını resimler klasörüne upload eder ve [Linkleri görebilmek için üye olun veya giriş yapın.] şeklinde tam yolu yazarak dışardan göndermiş olduğu bir dosyayı sisteminizde çalıştırabilir.
Bu şekilde sisteminizin izin verdiği ölçüde yeni dosyalar
oluşturabilir. Örneğin anadizinde ki default.aspx dosyasını silip
yerine bir default.asp dosyası oluşturabilir. Böylece siteniz
açıldığında “hacked by ++++++ ana” yazısı ile karşılaşabilirsiniz.
Böyle üzücü durumların yaşanmaması için sisteminize upload edilen dosyaların türünü denetlemek gerek.
Bunun için System.IO.Path ve System.Text.Regex namespacelerinden yararlanacağız.
Önce upload edilen dosyasın uzantısı nı alacağız ve kabul ettiğimiz dosya türleri içerisinde olup olmadığını denetleyeceğiz.
string uzanti = System.IO.Path.GetExtension(FileUpload1.PostedFile .FileName);
System.IO.Path.GetExtension metodu uzntıyı bize “.jpg” gibi noktalı bir şekilde verir.
Kullanıcı tarafından gönderilen dosya ismi büyük harfler ile yazılmış
olabilir. Buda birazdan yapacağımız karşılaştırmada farklıymış gibi
algılanmasına sebep olur. Bu yüzden uzantı harflerini küçültelim.
uzanti = uzanti.ToLower();
Kabul edeceğimiz dosya uzantıları için teker teker if kontrolü yazmamak için Regular Expression ifadelerinden yararlacağız.
using System.Text.RegularExpressions;
.....
if(Regex.IsMatch(uzanti,".jpg|.jpeg|.gif|.png|.bmp ") == false)
{
// gönderilen dosya formatı uygun değil
}
else
{
// gönderilen dosya formatı uygun.
}
Similar topics
» Vistada ASP çalıştırma Resimli Anlatım
» Sony Ericsson’da kötü haber
» Bir elmayı yerken kurt bulmaktan daha kötü olan nedir?
» Chmod Dosya İzinleri
» Online Virüs-Dosya Taratma Siteleri
» Sony Ericsson’da kötü haber
» Bir elmayı yerken kurt bulmaktan daha kötü olan nedir?
» Chmod Dosya İzinleri
» Online Virüs-Dosya Taratma Siteleri
1 sayfadaki 1 sayfası
Bu forumun müsaadesi var:
Bu forumdaki mesajlara cevap veremezsiniz