İsmet'in Güncesi » ASP.NET

Teketek.com ve XSS açığı

ismet öztürk — Mon, 17 Mar 2008 16:09:39 +0000

Bugün Türkiye’nin popüler alışveriş sitesi Teketek.com‘da ürünlere gözatarken, XSS‘i (Cross-Site Scripting) test amacıyla arama kutusuna JavaScript kodu yazdım ve çalıştı
İşini ciddiye alan bir alışveriş sitesinden böyle ciddi bir açık beklemediğim için önce şaşırdım, daha sonra bu konuyu yetkililere email ile ilettim. XSS için filtreleme sağlayan PHP Input Filter Class‘ını önerdim. (Bu arada ASP.NET (2.0, 1.1) kullanan web siteleri ise XSS’e karşı Anti-XSS Library 1.5‘i indirip kullanabilirler).

Umarım bu açık ciddi suistimallere neden olmadan çabucak kapatılır.

Güncelleme (18.03.2008): Bugün Teketek Mağaza Müdürü Ferhat Sarıhan’dan aldığım email’e göre açık kapatılmış. Mutlu son .

ASP.NET’de MD5 hesaplama

ismet öztürk — Thu, 21 Feb 2008 10:29:49 +0000

Bugün Adres Defterinde karşılaştığım bir sorun için MD5 hesaplama fonksiyonuna ihtiyaç duydum. Ancak MSDN’e baktığımda bunu PHP’deki “md5($str)” gibi basit bir fonksiyon yerine aşağıdaki gibi string’i önce byte array’e çevirip,bu array’den MD5 hesaplayıp daha sonra tekrar string’e çeviren bir yapı ile karşılaştım.
using System; using System.Security.Cryptography; using System.Text; static string getMd5Hash(string input) { MD5CryptoServiceProvider md5Hasher = new MD5CryptoServiceProvider(); byte[] data = md5Hasher.ComputeHash(Encoding.Default.GetBytes(input)); StringBuilder sBuilder = new StringBuilder(); for (int i = 0; i < data.Length; i++) { sBuilder.Append(data[i].ToString("x2")); } return sBuilder.ToString(); }