Blacklist/Whitelist Yaklaşımı
Karaliste (blacklist) mantığı birçok yerde karşımıza çıkar. Örneğin güvenlik duvarında IP karalisteleri, antivirüs yazılımında virüs imza dosyaları, içerik kontrol sistemlerinde herhangi bir kelime veya düzenli ifade. Bunlar hep bildiğimiz bilinmeyen durumlar. Peki ya bilmediğimizi bilmediğimiz kötü durumlar. Bunlar da birisi bunları bulana kadar sıfırıncı gün (zero-day) açıklıkları olarak tanımlanıyor. Karaliste yaklaşımı by-pass edilebilmekte. Bunun dışında beyaz liste (whitelist) yaklaşımı ise bilmediğimiz herşeyi yasaklayan sadece bildiğimizi geçiren yaklaşım olarak düşünülebilir.
SQLi ve XSS için blacklist çok iyi değil özetle. Örnek vermek gerekirse yazılımda bir girdide ya da çıktıda <script> ifadesinin olup olmadığı ve boşluk ile değiştirildiğini (anti-XSS) varsayalım. Aşağıdaki XSS payload'lar * ile bu kontrol bypass edilebilir:
Last updated
Was this helpful?