RestFull WebService - Kaynak Taşıma

 

   Kaynağı taşıyabilen bir denetleyiciye bir bağlantı şablonu eklenmesi gerekir. Taşıma isteği göndermek için POST kullanılır. İsteği işledikten sonra yanıt kodu 201 veya 303 sonuca bağlı olarak döndürülür.

Bir hareketin anlamı tamamen uygulamaya özgüdür. Kaynağın aynı veya farklı bir sunucuda farklı bir konuma gönderiliyor ve orjinal siliniyorsa,  yeniden kopyalamak anlamına gelebilir.  Alternatif olarak, bir kayanğın durumunu değiştirmeden değiştirmek anlamına da gelebilir. Bir hareketin ne anlama geldiği ve sunucunun bunu nasıl uyguladığı hakkında ve  her iki durumunda da sabit olmayan bağlantı sürdürmek için müşteri kendi başına işi yapmak için endişelenmemelidir.

Bir fotoğraf albümünü ele alırsak, Albümün bir arkadaşlar klasörünün parçasıdır. Müşteri yaratılan albümü aile albümü klasörüne taşımak isterse Sunucu URI lerini albüm kategorisinde, bu taşıma işlemi albümün URI  inde bir değişikliğe neden olur.

Bir kaynağı taşımak, kopyalamaktan çok farklı değildir. Bu durumda sunucu istemcinin bir hedef için kriter sağlamasına izin vermek için bir URI veya URI  şablonu sağlayan bir kaynak oluşturur.

# Request

GET /albums/friends/2020/08/1011 HTTP/1.1

Host: www.example.org

# Response

HTTP/1.1 200 OK

Content-Type: application/xml;charset=UTF-8

<album xmlns:atom="http://www.w3.org/2005/Atom">

   <id>urn:example:album:1011</id>

   <atom:link rel="self" href="http://www.example.org/albums/2020/08/1011"/>

   <link-template rel="http://www.example.org/rels/move"

       href="http://www.example.org/albums/friends/2020/08/1011/move;

                t=dc4128786d463dc7e40c18457d1826fa?group={category}"/>

   <category>friends</category> > Kaynağın kategorisini değiştirmek için URI şablonuna sahip bağlantı..

   ...

</album>

Bu gösterimde sunucu, istemcinin bir kategori belirtmesi ve kaynağın taşınması için bir URI şablonu kullanır.

# Request

POST /albums/friends/2020/08/1011/move;t=dc4128786d463dc7e40c18457d1826fa?

   group=family HTTP/1.1 > Kategoriyi değiştirme talebi

Host: www.example.org

Content-Length: 0

# Response

HTTP/1.1 201 Created

Content-Type: application/xml;charset=UTF-8

Location: http://www.example.org/family/2020/08/1021 > Yeni Kaynak.

Content-Location: http://www.example.org/family/2020/08/1021

<album>

   <id>urn:example:album:1021</id>

   <atom:link rel="self" href="http://www.example.org/family/albums/2020/08/1021"/>

   <category>family</category>

...

Bu isteğin sonucu URI http://www.example.org/albums/ adresinde yeni bir kaynaktır. aile /2020/08/1021

Sunucu, müşteri orjinal albüme erişmeye çalıştığı durumlarda bir 410 veya 4040  döndürebilir.

RestFull WebService - Kaynakların Birleştirilmesi

 

   Kaynakları bileştirmek için uygulamaya özel bir denetleyici kaynak tasarlamak gereklidir. Müşteri alt birleştirilecek kaynakların URI leri veya tanımlayıcıları ile bu URI bir GET isteği uygular, bu işlem için denetleyici sorgu parametleri olarak kullanılır. Sunucu Last-Modified ve ETAG döndürür. Temsilcinin gövdesinde birleştirilecek kaynakların bir özeti ile başlığını içerir. Varlık etiketine bir sıra numarası veya bir zaman damgası rastgele verilir. Özeti doğruladıktan sonra, istemci If-Unmodified-Since ve If-Match bir POST isteğinde bulunur. Birleştirilmeye neden olmak için aynı URI, If-Match başlıkları ile desteklenir.

Birleştirmeden sonra If-Match başlık değeri bir işlem günlüğünden saklar ve URL'in URI içeren bir Konum başlığı ile 201 yanıt kodunu döndürür. Gelecekte bir müşteri aynı If-Match değeri 412 döndürür.

Bir birleştirme sunucuya sunulan iki veya daha fazla kaynağı içerir. Müşterinin iki belgeyi birleştirmenin ayrıntıları sunucuya bırakılmalıdır. Burada müşterinin iki albümü yeni bir albümle birleştirmek için URI alma isteği görünür.

# Request

GET /albums/merge?src=urn%3Aexample%3Aalbum%3A1011&

   dest=urn%3Aexample%3Aalbum%3A1012 HTTP/1.1 > Birleştirilmekte olan kaynakların mevcut durumu alma talebi

Host: www.example.org

# Response

HTTP/1.1 200 OK

Cache-Control: no-cache

Content-Type: application/xml;charset=UTF-8

Last-Modified: Sun, 08 Nov 2020 04:47:03 GMT > Gösterim için Last-Modified ve ETAG 

ETag: "d88a39e41c314f57917da04c920fd608"

<albums> > Birleştirilen kaynakların durumu

 <album>

    <id>urn:example:album:1011</id>

    <atom:link rel="self" href="http://www.example.org/albums/2020/08/1011"/>

    ...

</album>

<album>

   <id>urn:example:album:1012</id>

   <atom:link rel="self" href="http://www.example.org/albums/2020/08/1012"/>

   ...

</album>

</albums>

Bu örnekte, istemci birleştirmek için iki kaynağın tanımlayıcılarını sağlar ve sunucu birleştirilecek kaynakların bir özetini döndürür. Alternatif olarak kullanabileceğiniz birleştirme parametreleri olarak URI lerdir.

 istemci tarafında, önceki yanıttaki albümlerin durumunu müşterinin birleştirme isteği göndermeden önce yerel olarak sahip olduğu ile aynıdır.

# Request

POST /albums/merge?src=urn%3Aexample%3Aalbum%3A1011&

   dest=urn%3Aexample%3Aalbum%3A1012 HTTP/1.1 > kaynak birleştirme isteği

Host: www.example.org

If-Unmodified-Since: Sun, 08 Nov 2020 04:47:03 GMT

If-Match: "d88a39e41c314f57917da04c920fd608" > Önkoşulları

# Response

HTTP/1.1 201 Created

Location: http://www.example.org/albmus/2020/08/1091

Content-Location: http://www.example.org/albmus/2020/08/1091

Content-Type: application/xml;charset=UTF-8

Last-Modified: Sun, 08 Nov 2020 05:30:10 GMT

ETag: "48be3ab269550ee00a84eb5a1a44f330"

<album>

   <id>urn:example:album:1091</id>

   <atom:link rel="self" href="http://www.example.org/albums/2020/08/1091"/>

   ...

</album>

Sunucu, yeni bir birleştirilmiş kaynak oluşturur. Bu işlem sırasında ne olduğuna bağlı olarak sunucunun kullanım durumları talep ederse, sunucu orjinal kaynakları silebilir.

CompTIA Güvenlik Sertifikası için Bilgiler #1

 *    E-Ticaret Web Sitesi sunucusu için günlükler incelenirken, saldırganın web sitesine JavaScript yerleştirerek sulama deliği saldırısı gerçekleştirdiği ortaya çıkmış kullanıcıları  kimlik avı web sitesine yönlendirmekte olduğu bulunmuş. Sorun Çözümü için siteler arasında komut dosyasının çalıştırmanın hemde SQL injection işinin durdurmanın birinci yöntemi kullanıcı girişi kontrol edip filtrelemek.

* Bir hedef değişkene verinin gönderebileceğinden daha fazla veri göndermeye dayanan saldırı türü "Buffer overflow"

* Şİrket ağındaki güvenlik sorunlarını test etmek için Spesifik test ihtiyacı doğmuş ise otomatik ve yarı otomatik araçları kullanarak, ağdaki çeşitli sistemlerdeki bilinen güvenlik açıklarını bulabilmek için en iyi bilinen yol "Vulnerability scan"

* WiFi ağını ihlal eden saldırganı WAP yönetim paneli aracılıyla gönderilen kimlik bilgileri varsayılan yapılandırma örneğidir.

* Saldırgan ağınıza sızdı ve veritabanınızdan verileri çaldı. Tüm Sunucular günlüklerini merkezi bir günlük sunucusuna iletecek şekilde yapılandırılmış. Merkezi günlükleri incelediğimizde iki gün öncesinde sonra hiç bir giriş bulunmuyor. Sunucuları kontrol ettiğimizde doğru sunuculara verilerin gitti öncelikle görülmüş. Ancak kesintiden sonraki verilerin kaybolması ARP zerilenmesi anlamına geliyor. Veriler farklı bir MAC yönlendiren MAC tablolarını değiştirmek için kullanılır.  Neden hiç veri gelmediği bu şekilde açıklanabilir.

* Web Sitesinde oturum açıp ziyaret ettiklerinde web sitesinden düşülüyor. Ağ dışı bilgisayardan denediklerinde de aynı hata alınıyor. Web Sitesi günlükleri kontrol edildiğinde hiç bir kayıt gelmediği görülüyor. "Typosquatting" adlandırılan gerçek Web Sitesine gitmedikleri sahte sunucu üzerinden bağlandıkları tespit edilmiş. 

* Ağ analizi için tehdit analizi oluşturularak geçmiş olaylarda benzer ağlarda bu işlemlere benzer tehditleri ihlal edenleri basitçe yakalamak için düşük seviyeli suç işlemlerinde ve profesyonel olmayan saldırganların tespiti için "Script kiddie" terimi kullanılır.

* Sızma testinde; archive.org, netcraft.com, sosyal medya kaynaklarından toplanan bilgiler için Pasif gerçekte bağlantı kurulmadan yapılan keşif.

* Kurum içindeki satış görevlisinin pc sinde bariz bir yavaşlama sözkonusu kontrol edildiğine ilk önce göze çarpan bir durum söz konusu değil. Ancak geçici klasörler kontrol edildiğinde JPEG dosyalarından çok fazla olduğu görülmüş, Bazı casus yazılımlar sistemden ekran görüntüleri alırlar ve onları internet bağlantısı kurulduğu anda gönderir yada geçici klasörde toplarlar.

* Hedef ağ alan adına sahte girişimlerle giriş yapma işlemine "DNS poisoning" DNS Zehirlenmesi veya etki alanını ele geçirilmesi denir.

* Küçük bir işletme için sızma testi yapılması gerektiğinde test için uzmana şirket adı ve web sitesi alan adı, Ağ Geçici Yönlendiricisi IP si verilmiş. Bu teste "Black-box test" Kara kutu testi minimum bilgi içeren testtir.