| | |
| Stránka: 1 z 1
| [ Príspevkov: 7 ] | |
Autor | Správa |
---|
Registrovaný: 22.01.08 Prihlásený: 19.04.15 Príspevky: 492 Témy: 135 Bydlisko: Bratislava ... |
ako sa proti tomuto zabezpečiť? mám script ktorý odkazuje na subor.php?id=82 napr. a to vymaže prispevok s daným ID...
no to je ale trocha problém, lebo niekto moze do adresy napisat subor.php?id=82 a zmaže to...i ked toto je len v administracii ale v statusbare sa ta adresa objavi a tak:( no skusal som nahradit GET, POSTom ale to uz potom nefunguje. ako sa riesi toto?
|
|
Registrovaný: 04.04.07 Prihlásený: 27.06.21 Príspevky: 532 Témy: 35 Bydlisko: Bratislava | Napísal djsulo: 13.12.2008 13:16 | |
|
staci ten skript osetrit tak, ze to moze urobit iba admin:
Kód: if(admin == 1) { delete } else return false;
_________________ CPU: AMD Phenom II 940 QUAD X4 BE AM2+, chladic: Arctic Cooling Freezer 64 Pro, RAM: 4GB DDR2 800MHz PC6400, MB: M2N-E SLI, VGA: RX 4870 GAINWARD HD4870 1GB, HDD: WD 1TB, Zdroj: CORSAIR 750W TX |
|
Registrovaný: 22.01.08 Prihlásený: 19.04.15 Príspevky: 492 Témy: 135 Bydlisko: Bratislava ... | Napísal autor témy B.A.X.O: 13.12.2008 14:33 | |
|
hm diky za napad! tvoj kod asi nie je zly, ale pouzil som vlastny podla ktoreho ma usposobeny cely script
uz to ide dobre...
|
|
Registrovaný: 30.05.06 Prihlásený: 08.10.14 Príspevky: 1756 Témy: 35 Bydlisko: BA - WESTSIDE | Napísal p360t: 13.12.2008 18:33 | |
|
Ale pozor, to situáciu úplne nerieši. Tomuto útoku sa hovorí CSRF: Cross-Site Request Forgery. Niekto ťa prinúti ísť na nejakú stránku a na nej bude napr kód:
Kód: <img src="http://www.tvojastranka.sk/subor.php?id=100"> Ak budeš zároveň prihlásený, tak sa ten skript spustí a súbor sa vymaže. Obrana proti tomuto typu útokov je zložitejšia. Útočníkovi to môžeš sťažiť ak budeš na mazanie používať výlučne POST metódu. Ani to však nie je 100% ochrana. Tou sú špeciálne tokeny. Princíp tokenov funguje takto: keď si dáš zobraziť nejakú stránku na ktorej je tlačidlo "Vymazať", vygeneruješ špeciálny token (nejaký reťazec, zakaždým iný!). Tento token si uložíš (najlepšie asi do databázy) a zároveň ho zahrnieš ako tajné formulárové pole Kód: <input type="hidden" value="totoJeTvojUnikatnyToken" . Keď niekto niekedy stlačí tlačidlo "Vymazať", s idčkom článku na vymazanie sa zároveň odošle token. Pri spracúvaní požiadavku sa pozrieš, či je niekde v databázi tento token. Ak je, požiadavka určite odišla z tvojej administrácie a môžeš token zneplatniť a článok vymazať. Inak sa článok nevymaže (a môžeš napr. zobraziť chybovú hlášku).
Je veľmi dôležité, aby sa tokeny vždy použili iba raz a aby sa neopakovali. Potom si tiež treba napísať údržbový skript, ktorý raz za čas vymaže staré nepoužité tokeny.
_________________
A. S. Tanenbaum píše: The terms LF, MF, and HF refer to low, medium, and high frequency, respectively. Clearly, when the names were assigned, nobody expected to go above 10 MHz, so the higher bands were later named the Very, Ultra, Super, Extremely, and Tremendously High Frequency bands. Beyond that there are no names, but Incredibly, Astonishingly, and Prodigiously high frequency (IHF, AHF, and PHF) would sound nice. |
|
Registrovaný: 26.11.06 Prihlásený: 22.01.24 Príspevky: 4118 Témy: 319 Bydlisko: HE/BA | Napísal Flety: 13.12.2008 18:38 | |
|
Ja to riešim tak, že mám v každom súbore na začiatku overenie, či je v administrácií, a tam som len ak sa nachádzam v priečinku administrácie a ak som prihlásený ako admin, a aj keď sa niekomu podarí to vymazať tak len zmením jednu hodnotu v databáze a je to späť, také riešenie by nestačilo? Inak p360t trochu som nepochopil tvojím tokenom veď ten token tam bude či je admin alebo nieje, nie?
|
|
Registrovaný: 21.02.07 Prihlásený: 21.02.10 Príspevky: 3984 Témy: 96 |
Drako: pokiaľ to chceš riešiť cez GET tak sa budeš pýtať na existenciu tokenu a pokiaľ neexistuje tak si na stránke predtým nebol ...
|
|
Registrovaný: 30.05.06 Prihlásený: 08.10.14 Príspevky: 1756 Témy: 35 Bydlisko: BA - WESTSIDE | Napísal p360t: 13.12.2008 21:04 | |
|
Nie, tie tokeny sú o tom, že len ten človek, ktorý naozaj navštívil administráciu má k dispozícii (práve jeden) aktívny token. CSRF sa robí tak, že adminovi podstrčíš nejakú URL, ktorá mení obsah stránky, ale keď nevieš hodnotu aktívneho tokenu, nemáš mu ako podstrčiť škodlivú URL. Samozrejme, neochráni ťa to, keď už útočník sám získa prístup do administrácie, ale vtedy si aj tak môže viac-menej robiť čo sa mu zachce.
_________________
A. S. Tanenbaum píše: The terms LF, MF, and HF refer to low, medium, and high frequency, respectively. Clearly, when the names were assigned, nobody expected to go above 10 MHz, so the higher bands were later named the Very, Ultra, Super, Extremely, and Tremendously High Frequency bands. Beyond that there are no names, but Incredibly, Astonishingly, and Prodigiously high frequency (IHF, AHF, and PHF) would sound nice. |
|
| Stránka: 1 z 1
| [ Príspevkov: 7 ] | |
Podobné témy | Témy | Odpovede | Zobrazenia | Posledný príspevok |
---|
| GET premenne v PHP, ASP | 8 | 617 | 30.04.2011 22:17 emer | | Vista get conected v Operačné systémy Microsoft | 2 | 365 | 11.10.2010 13:49 Mego | | GET pise bludy v PHP, ASP | 4 | 471 | 28.04.2010 15:00 jtomcik | | GET method PHP v PHP, ASP | 6 | 388 | 22.02.2016 13:54 stenley | | class get/post v PHP, ASP | 0 | 512 | 06.06.2010 18:20 Unlink | | [VYRIESENE] Php GET problem v PHP, ASP | 4 | 559 | 21.02.2009 20:12 Xardas | | problem s get page ... v PHP, ASP | 1 | 484 | 30.01.2009 22:08 stenley | | php, get a mysql v PHP, ASP | 3 | 339 | 27.07.2012 4:13 TheRay | | vytiahnutie premennej cez GET v JavaScript, VBScript, Ajax | 4 | 845 | 01.12.2009 14:51 pilná lama glama | | c++ cin.get/line v Assembler, C, C++, Pascal, Java | 3 | 716 | 18.03.2012 20:43 Fico | | [htaccess]cool url na get v Ostatné | 4 | 594 | 13.04.2010 1:04 Blackshadow | | Get IP address by URL v Operačné systémy Unix a Linux | 5 | 642 | 18.02.2010 10:44 Ďuri | | Problem s get a post v PHP, ASP | 3 | 384 | 24.04.2010 0:13 djsulo | | [VYRIESENE] spracovanie formulara cez GET v PHP, ASP | 15 | 897 | 20.02.2009 11:01 newboy1 | | GET aby to user nevidel v PHP, ASP | 11 | 728 | 05.06.2008 15:23 Tominator | | file get contents - cross domain hlasovanie v PHP, ASP | 3 | 397 | 25.08.2017 9:09 BX |
| Nemôžete zakladať nové témy v tomto fóre Nemôžete odpovedať na témy v tomto fóre Nemôžete upravovať svoje príspevky v tomto fóre Nemôžete mazať svoje príspevky v tomto fóre
|
|