• Buradasın

    Loglama Güvenliği: Login Injection ve Cheatsheet

    youtube.com/watch?v=oPuH9sxGSWg

    Yapay zekadan makale özeti

    • Bu video, bir eğitim dersi formatında sunulmuş olup, konuşmacı loglama güvenliği konusunda bilgi vermektedir.
    • Video, loglama güvenliği kapsamında login injection ve cheatsheet konularını ele almaktadır. Konuşmacı önce login injection'in ne olduğunu açıklayıp, bunu nasıl engelleyebileceğimizi (input validation, problemli karakterleri etkisiz hale getirme, output encode etme, database longlama) anlatmaktadır. Ardından OBS'ın loglama önerileri üzerinden hangi eventlerin loglanması gerektiğini ve hangilerinin (password, session, database connection string'leri) loglanmaması gerektiğini açıklamaktadır. Son olarak, örnek kodlar üzerinden login injection'in nasıl yapıldığını ve bunun nasıl çözülebileceğini göstermektedir.
    Loglama Güvenliği ve Login Injection
    • Video, loglamadaki güvenlik konusunu ele alacak ve özellikle login injection ve cheatsheet konularını örnek slaytlar üzerinden anlatacak.
    • Login injection, filtreden geçmemiş inputların sistemde yer alması ve log kirliliği olarak tanımlanır.
    • Login injection'ı engellemek için inputları validation'dan geçirerek problemli karakterleri etkisiz hale getirmek, outputları encode etmek veya database'de longlamak gerekir.
    01:03Loglama Stratejileri
    • Yazılım tarafında input validationlarının failleri ve login işlemlerindeki failler/successler loglanmalıdır.
    • Password'ler loglanmamalıdır.
    • Session management ile ilgili loglar loglanmalıdır, ancak bazı loglar (application source code, hash kodlanmış veriler, access tokenları, session'lar, password'ler, database connection string'leri) loglanmamalıdır.
    02:46Login Injection Örneği
    • Demo klasöründe iki metot yazılmıştır: biri web sitesinde re-direct metodundan sonra loglama, diğeri para çekme loglaması.
    • İlk örnekte, yeni bir log yazdırmak için new line kullanılarak log kirliliği oluşturulmuştur.
    • İkinci örnekte, para çekme ve geri alma işlemlerinin loglanmasıyla, para çekilmemiş gibi görünmesi durumunda büyük bir sorun yaratılabilir.
    04:54Çözüm Yöntemleri
    • Login injection sorunlarını çözmek için kütüphaneler kullanılabilir, örneğin OAP kütüphanesi.
    • Bu kütüphanelerin metotları ile inputlar validation'dan geçirilebilir.
    • Encode ve new line gibi filtreleme metotları kullanılarak log kirliliği sorunları çözülebilir.

    Yanıtı değerlendir

  • Yazeka sinir ağı makaleleri veya videoları özetliyor