none
güvenli web sitesi yapmak istiyorum nereden başlarım RRS feed

  • Soru

  • güvenli web sitesi yapmak istiyorum nereden başlarım nasıl yaparım mvc 4 de kod yazıyorum ama güvenlik kısmına gelince nasıl olacak kodları nasıl ayarlarım nasıl yazarım ne yazarım bilemedim.

    web sitesinde ssl olacak.

    kredi kartı ödeme bölümü olacak.

    ama şu var e-ticaret sitesi değil.

     
    16 Ocak 2017 Pazartesi 21:53

Yanıtlar

Tüm Yanıtlar

  • Kredi kartını bağış almak için mi  kullanacaksın ? :) 
    Öncelikle  üye işlemlerini  Session ile kendin yapma , Simple MemberShip ile yap.

    SQL cümlelerine hakim deyilsen bulaşma. SQL INJECTİON açığı verirsin onun yerine Entity Framework veya Linq To Sql  kullan onlar sana SQL komut cumlesi olusturur :) 


    Agha Huseynov

    17 Ocak 2017 Salı 03:04
  • arkadaşlar öncelikle kredi kartı ile ilgili espriler için teşekkürler güldürdünüz beni :D

    bağış sitesi olmayacak ama e-ticaret derken yani alışveriş siteside olmayacak. bi proje almak üzereyim 

    bu site teklif ve hizmet sitesi burada kredi kartı ile komisyon alınacak.

    şimdi benden istenilen olay sitenin güvenli olması sadece kredi kartı bölümü değil diğer sayfalar vs. her şeyin bi güvenlikten süzülerek sunucu ile iletişim kurması gibi.

    ben asp.net mvc 4 razor ile bu projeye girmek istiyorum tek başımayım kod kısmında tek başıma olmam bana dezavantaj sağlıyor biraz çünkü güvenlik kısmın çok tecrübeli değilim ve çok iyide bi ingilizcem yok o yüzden kaynakların hepsinden de tam anlamıyla yararlanamıyorum olayım ve sorunum bu.

    asp.net ve c# ile ilgili bildiklerim ve uyguladıklarım şunlar ;

    *entity ile veritabanı bağlantısı yapabiliyorum .

    *linq to sql kullanarak veritabanı işlemleri yapabiliyorum.

    *mvc 4 reazor ile normal bi web sitesi yapabiliyorum.

    *visual studio 2013 ve sql server 2014 kullanıyorum.

    Evet öğreneceğim daha çok çok şeyler var... 

    Şu an nereden başlayacağım bu proje de biraz kafam karışık????????

    Yardımlarınız ve fikirlerinizi bekliyorum.

    şimdiden teşekkürler.

    17 Ocak 2017 Salı 10:31
  • Yapmaya kalkışan da, yaptıran da cesaretliymiş doğrusu...

    pgnchess.com

    dergikapaklari.com

    17 Ocak 2017 Salı 10:54
  • Yapmaya kalkışan da, yaptıran da cesaretliymiş doğrusu...

    pgnchess.com

    dergikapaklari.com

    katılıyorum, işin içinde "para" olan işlerde dikkatli olmak lazım.

    • MVC5 kullanın
    • VisualStudio 2015 kullanın.

    Bunların güvenlik ile ilgisi yok, sadece öneri

    Ödeme sayfanızı sadece https protokolüne yanıt verecek şekilde hazırlamanız sizin için yeterli olacaktır.

    Bunun yanında sanal pos anlaşması yaptığınız bankaya göre 3d pos kullanırsanız bunu da dert etmenize gerek kalmaz. Kart bilgilerinin güvenliğinin sorumluluğu banka da olur.

    Bunun dışında üyelik login ve register işlerinizde recaptcha kullanırsanız başınızı ağrıtacak bişey olmayacaktır.


    e-mail: onay[nokta]yalciner[at]hotmail[nokta]com


    17 Ocak 2017 Salı 11:41
    Moderatör
  • Sitemde hack ve huzur için yaptıklarımı yazayım.

    - cookie bilgilerini kendi yazdığım kripto algoritması ile kriptoluyorum.

    - DB deki üye kişisel bilgilerini (eMail telNo şifre gibi) kriptolu kayıt ediyorum(hosting çalışanına karşı)

    - Üye kişisel bilgilerini diğer üyelere göstermiyorum, sadece rumuz, onuda key olarak kullanmıyorum. 

    - Sayfalar arası parametreyi adres satırından geçirmiyorum, bir yerde mecbur kaldım onuda kriptoladım.

    - Üyenin girdiği bilgileri önce javascript ile kontrolden geçirdim, sonra c# ile. 

    - Üyenin yüklediği dosyaları, içindeki kodlamaya kadar detaylı kontrolden geçirdim, hem js ile hem c#

    - Üyenin yüklediği resim dosyalarını viruse karşı c# ile yeniden yaratıp öyle yükledim varsa viruslu kod bozulsun diye, işe yararmı bilmiyorum.

    - Servere gidiş gelişleri süreye bağladım. Veri girişleri, sayfa refresh ler, buton tıklamalar hepsinde js ile süre kontrolu var. belli süreden önce yapılan yenilemeleri js ile engelledim, js kontrolunden kaçanları c# ile saydım, belli sayıyı geçenleri uyarı sayfasına yönlendirip, problem tablosuna kaydını yaptım. devam ettiği durumda blokladım.

    - Üyenin her türlü şüpheli hareketini saydım ve üyenin haberi olmadan tablolarda sakladım admin kontrolu için. Belli sayıları geçenleri blokladım. Bazı işlemlerde ilk seferde blokladım.

    - Üyenin girdiği DB ye yazılacak bilgileri her seferinde önce js ile sonra c# ile kontrol edip içini temizleyip, parametre kullanarak kayıt ettim.

    - Üyenin girmesi gereken gerçek bilgileri mantık kontrolune soktum. mantığa uymayanları üyenin haberi olmadan incelenmek üzere problem tablosuna kayıt ettim.

    - DB de kullandığım her key bilgisi eğer cliente gidiyorsa mutlaka ya hem üyeye görünmüyordur hemde kendi algoritmam ile kriptoludur. Ki bu algoritma da 60.000 kere a harfi girsen hepsinde farklı görüntü üretiyor ve ve sadece stringi 2 karakter artırıyor.

    - sayfa isimleri üyelere görünmüyor... login.aspx gibi standart sayfa isimleri yada klasör isimleri yada tablo isimler  kullanmadım...

    - Veri ve dosya tutarlılığını kontrol eden ayda bir ve yılda bir çalışan programlar var.

    Bunlar benim standart haline getirdiğim önlemler... 

    Zor gibi gelebilir ama bir kez yazınca copy paste ile kopyalıyorsun her sayfaya. Eğer içinde güvenlik kodlarını barındırdığın bir şablon sayfan varsai iş kolaylaşıyor... ki buraya yazmayı sakıncalı gördüğüm bir kaç önlemim daha var...

    Yinede bu kadar önlem sadece alt ve orta seviye hackerleri durdurur diye düşünüyorum. 

    Tabi önlemlerin hiçbirinin üyeler tarafından görünmemesi ve bilinmemesi şart. Yoksa bin tanede bir çıkacak zararlı kişi için geri kalan tüm üyeleri bezdirir kaçırırsın. Üyeler huzur içinde olacak ama huzurun nasıl sağlandığını asla bilemeyecekler... Bu profesyonellik gerektirir.

    Kolay gelsin.
    17 Ocak 2017 Salı 12:23
  • Bu arada ilave olarak MVC5 i doğru kullanıyorsan tavukluPilav arkadaşın önerdiklerinin hiç birini yapmana gerek yok.

    Hackerim diye dolaşanlar, uygulamalarını yanlış yapanlar yüzünden varlar. :)


    e-mail: onay[nokta]yalciner[at]hotmail[nokta]com


    17 Ocak 2017 Salı 14:46
    Moderatör