Berk Gürakan - MSP Blog

BlogEngine.net'in 1.3.1'den önceki sürümlerini kullanıyorsanız eğer, çok büyük bir güvenlik tehditi ile karşı karşıyasınız. Çok basit bir http çağrısı ile web.config'den tutun şifre ve kullanıcı adına kadar her tür bilgiyi alabiliyorsunuz (denedim ve gördüm). 1.3.1.0 versiyonunu kullanmaya başlayarak sorunu çözebilirsiniz. Problem RetrieveLocalScript() metodundan kaynaklanıyor.  BlogEngine.NET 1.3 versiyonundaki kod şu şekilde:

/// <summary>
/// Retrieves the local script from the disk
/// </summary>
private static string RetrieveLocalScript(string file)
{
    string path = HttpContext.Current.Server.MapPath(file);
    string script = null;
    using (StreamReader reader = new StreamReader(path))
    {
        script = reader.ReadToEnd();
        HttpContext.Current.Cache.Insert(file, script, new CacheDependency(path));
    }

    return script;
}

Gördüğünüz gibi herhangi bir kontrol yapılmamış; halbuki bu metodun JavaScript çağrıları dışında cevap vermemesi gerekiyor. Şu şekilde düzeltilmiş:

/// <summary>
/// Retrieves the local script from the disk
/// </summary>
private static string RetrieveLocalScript(string file)
{
    if( !file.EndsWith( ".js", StringComparison.OrdinalIgnoreCase ) )
    {
        throw new System.Security.SecurityException( "No access" );
    }

    string path = HttpContext.Current.Server.MapPath(file);
    string script = null;
    using (StreamReader reader = new StreamReader(path))
    {
        script = reader.ReadToEnd();
        HttpContext.Current.Cache.Insert(file, script, new CacheDependency(path));
    }

    return script;
}

JavaScript olmayan çağrılar artık exception döndürüyor ve 'Erişim Yok' cevabı alıyorsunuz. BlogEngine'i baştan kurmak istemiyorsanız (ve kaynak kodlu olan versiyonunu indirdiyseniz) bu basit değişiklikle olayı kurtabilirsiniz. Yok eğer baştan kurmak istiyorum diyorsanız:

Tam Sürüm: BlogEngine.NET 1.3.1.0

Düzeltme (Patch): BlogEngine.NET 1.3.0.0

http://dotnetblogengine.net/post/Critical-Security-Patch-Available.aspx

Asus EEE'yi çoğunuz duymuşsunuzdur. 7 inç (18cm)'lik bu canavar aletin daha da canavar olan kısmı fiyatı. Sadece 400$! Bunun sebebi ise, flaş bellek kullanması; yani hafızası yalnızca 4GB (8GB'a kadar çıkabiliyor ancak Counter oynayamazsınız). Yakın zamana kadar sadece Xandros yüklü gelen bu PC, artık Windows XP ile geliyor. Sunumlarda kullanmak için gerçekten ideal, fiyatına göre çok iyi performans veriyor. Tıklayın.

www.microsoft.com/security/portal adresinden ulaşabileceğiniz, yeni Adware, Spyware ve Malware'lara karşı bilgi ve önlem alabileceğiniz bir güvenlik portalı. Ayrıca binlerce virüs tanımlaması (definition) bulunan bir ansiklopedi de mevcut. Forefront, OneCare ve Windows Defender uygulamalarını da indirebilirsiniz. Ayrıca 'Submit a Sample' kısmından, sizin bilgisayarınıza bulaşmış ve daha tanımlanmamış olan bir virüsü gönderip analiz ettirebilirsiniz. Gerçekten yararlı ve güzel olmuş, arada uğramakta fayda var.

Çok yararlı bir program; ancak pek etrafta göremediğim için yazmayı uygun buldum. Özellikle sunumlarda, browser penceresi çok küçük kalır ve gözükemez. Ekran boyutunu toptan büyütmek de pek güzel bir çözüm olmuyor. Bunun için Microsoft ZoomIt isimli programı kullanabilirsiniz. Bu program, imlecin olduğu yere zoom ediyor ve browser penceresinin (veya herhangi başka bir yerin) okunmasını kolaylaştırıyor. Menüsünden de çeşitli ayarları yapabiliyorsunuz.

Screenshot: Önce ve Sonra

Download: http://download.sysinternals.com/Files/ZoomIt.zip 

 
Antivirüs yazılımınız ne kadar güvenli? Internette bu konuda yapılmış onlarca test var elbette, siz de belki bu testlere bakarak o ya da bu yazılımı kurdunuz ve kullanıyorsunuz. EICAR'ın yayınladığı bir test dosyası ile kolayca antivirüs yazılımınızı test edebilirsiniz. Şöyle ki;

1. Notepad'i açarak aşağıdaki metni yapıştırıyoruz. (tek satır)

X5O!P%@AP[4\PZX54(P^)7CC)7}$EICAR-STANDARD-ANTIVIRUS-TEST-FILE!$H+H*

2. Bu dosyayı EICAR.COM olarak kaydediyoruz.
(Dosya --> Farklı Kaydet --> Dosya adı: EICAR.COM, Kayıt türü: Tüm Dosyalar --> Kaydet)

3.Kaydettiğimiz bu dosyayı üzerine çift tıklayarak ya da Komut İstemi üzerinden çalıştırıyoruz. Bu noktada (ya da daha önce) Antivirüs yazılımınızın sizi bir şekilde uyarmış olması lazım. EICAR virüsü bulundu, spyware vs. şeklinde bir mesaj alırsınız büyük ihtimalle. Korkmayın virüs falan yok :)

4. Bu dosyayı zipleyerek, emaillayarak vs. antivirüs yazılımınızı iyice zorlayabilirsiniz. Gmail'a, Hotmail'a emailla göndererek onların antivirüslerini de test edebilirsiniz :)

5. Kendi antivirüs yazılımınızı deneyerek buraya yorum yazabilirsiniz.

NOT 1: Bu test herhangi bir şekilde şu antivirüs daha güvenli, bu daha güvensiz şeklinde sonuçlar vermez. Bu tür testler internette birçok yerde var. Bu test yalnızca antivirüs yazılımınız o anda çalışıyor mu, onu belirlemeye yarar. Sorumluluk kabul etmiyorum :)

NOT 2: Nod32 ile denedim, dosyayı kaydetmeye çalışırken beni uyardı ve dosyayı karantinaya aldı.