Hancı Eğitim

Web Programcılığına giriş



Aktif Sunucu Sayfaları ( ASP ) nedir ?



Microsoft’un bizlere sunduğu karşılıklı etkileşimli ( interaktif )
sayfalar yapabilmek için kullanabileceğimiz yeni bir web teknoloji
dilidir. IIS 4.0 ve Personel Web Server 4.0 ile uyumlu bir dildir. Yeni
sürüm olan ASP 3.0 ise hem IIS 4.0 hemde IIS 5.0 ‘a destek
verebilmektedir.



ASP İçn gerekli olacak yazılımlar nelerdir ?



Windows NT : Windows NT 4.0 Option pack Yazılımındaki IIS 4.0 programını sisteminize yüklemeniz gerekir.



Windows 95 veya 98 : Personel Web Server 4.0 yazılımını kullanabilirsiniz.



Windows NT 4.0 Option pack Yazılımını
Kurmalısınız

Aktif Sunucu Sayfaları ( ASP ) nedir ?



Microsoft’un bizlere sunduğu karşılıklı etkileşimli ( interaktif )
sayfalar yapabilmek için kullanabileceğimiz yeni bir web teknoloji
dilidir. IIS 4.0 ve Personel Web Server 4.0 ile uyumlu bir dildir. Yeni
sürüm olan ASP 3.0 ise hem IIS 4.0 hemde IIS 5.0 ‘a destek
verebilmektedir.



ASP İçn gerekli olacak yazılımlar nelerdir ?



Windows NT : Windows NT 4.0 Option pack Yazılımındaki IIS 4.0 programını sisteminize yüklemeniz gerekir.



Windows 95 veya 98 : Personel Web Server 4.0 yazılımını kullanabilirsiniz.



Windows NT 4.0 Option pack Yazılımını
kurmalısınız

IIS Kurulumu



ASP basit bir tanımla web üzerinde çalışan bir programlama dili
diyebiliriz ve bir programlama dilinin çalışma anında derlenmesi
gerekir. VBasic, Delphi gibi dillerde bu için özel compiler’lar vardır.
ASP de compile işlemi web sayfasının yayınlandığı sunucu üzerinde
yapılır. Compiler olarakda web servisini yöneten program kullanılır.
ASP’de bu işi IIS (Internet Information Services ) görmektedir.
Barındırdığı sitede çağrılan bir ASP dosyasını derleyerek çıktısını
kullanıcının tarayıcısına gönderir. Bizede çalışmalarımızda test amaçlı
olarak IIS lazım olacaktır.



(Win9x ve WinMe için IIS degil PWS kullanılmaktadır. Sitenizin host

XSS Açıkları Request ile kullanıcıdan alınan verilerin sayfa içinde Yazdırılması ile oluşur. Örneğin QueryString ile alınan sayfa numaraları yada ilgili kaydı gösteren id değişkenleri.

hedefsite/Default.Asp?Page=1 yada
hedefsite/Product.Asp?id=1
hedefsite/Default.Asp?Kategori=Haber gibi.

Örnek XSS Açığı ile Ne yapılabilir :

Yukardaki örnekler gibi açığımızı buluyoruz yada hedef sitede Webservis sayaç kodunun olması yeterli.
Açığımızı bulduktan sonra kullanıcının Cookie'sini JavaScript (document.cookie) ile okuyup istediğimiz bir adresteki veri tabanına kayıt ediyoruz yada kendimize mail atıyoruz.

-------------------------

Dünyanın her tarafında, kullanıcılarına; kredi kartı numaraları, kullanıcı bilgileri gibi gizli kalması gereken bilgilerin, ürünlere ve siparişlere ait verilerin saklandığı uç-arka veri depolarıyla hizmet veren web siteleri bulunmaktadır. Ve genel olarak, web sitelerindeki form aracılığı ile alınan girdi ile veritabanındaki bilgiler filtrelendikten sonra sonucu kullanıcıya gönderen bu tür sistemlerde Yapısal Sorgulama Dili (Structured Query Language - SQL) kullanılmaktadır. Uygulama içerisinde kullanılacak parametre değerleri alınırken kullanılan formun SQL Deyimini yeniden yapılandırabilecek bazı özel karakterlere izin vermesiyle güvenlik problemleri ortaya çıkmaktadır.