[ Príspevkov: 43 ] 1, 2
AutorSpráva
Offline

Užívateľ
Užívateľ
Obrázok užívateľa

Registrovaný: 07.08.09
Prihlásený: 08.11.17
Príspevky: 139
Témy: 30 | 30
NapísalOffline : 01.01.2010 15:52 | ochrana $_POST

Čavte... chcem sa opýtať či na zabezpečenie $_POST stačí niečo takéto :
Kód:
$gtim1= htmlspecialchars(addslashes($_POST['gtim1']));

pokračuje to ďalšími napr. $gtim2,3, atď a potom
Kód:
f (is_numeric ($_POST)) {
   echo "ok domaci";
}
else {
 echo " POZOR : chyba pri zadavani. Vo folmulari boli pouzite znaky ine ako cisla";
   die;
}


Offline

Užívateľ
Užívateľ
ochrana $_POST

Registrovaný: 22.01.08
Prihlásený: 19.04.15
Príspevky: 492
Témy: 135 | 135
Bydlisko: Bratislava ...
NapísalOffline : 01.01.2010 16:42 | ochrana $_POST

relativne áno.
Ale záleží čo s tým robíš, ak máš nejaký formulár a tak...tak je tu vysoké riziko útoku CSRF, hoci je dobre že používaš radšej POST ako GET, (dobre proti tomu druhu utoku) tak môže to byť aj o tom, že niekto si spraví formulár a pošle ti tam iné hodnoty.

takže v podstate môžeš to zabezpečiť proti napr. vloženiu script kodu (htmlspecialchars) ale tých rizík je nespočet.
ja som si tiež donedávna myslel ako dobre to mám zabezpečené,
dokial som nezistil že v pohode si to prepíšem iným formulárom.

teda ak si sa pýtal na toto, všeobecne. čo sa týka tej kontroly na čísla to je ok, aj tie htmlspecialchars atd.


Offline

Užívateľ
Užívateľ
Obrázok užívateľa

Registrovaný: 07.08.09
Prihlásený: 08.11.17
Príspevky: 139
Témy: 30 | 30
Napísal autor témyOffline : 01.01.2010 16:51 | ochrana $_POST

B.A.X.O : ako myslíš, že prepísať iným formulárom ?


_________________
NB : Toshiba A500 (C2D T6500 2.1GHz, 4 GB RAM, HDD 500 GB, GPU ATI R HD 4500)
Phone : Nokia Lumia 620 / Nokia 6300
Offline

Užívateľ
Užívateľ
ochrana $_POST

Registrovaný: 22.01.08
Prihlásený: 19.04.15
Príspevky: 492
Témy: 135 | 135
Bydlisko: Bratislava ...
NapísalOffline : 01.01.2010 17:20 | ochrana $_POST

ja len ťa upozorňujem na CSRF, aby sa ti nestalo že máš takýto formulár s php ktorý ho spracúva:

Kód:
<form action="" method="post">
 <input type="text" name="hodnota">
 <input type="submit" name="send" value="Poslat">
</form>

<?php

if(isset($_POST['send'])){

$hodnota = htmlspecialchars(addslashes($_POST['hodnota']));

echo $_POST['hodnota'];

}

?>


no, súbor sa volá napr. lol.php, niekto si pozrie aha takže on takto posiela data hmm...
spraví si súbor napr. attack.html, a donho umiestni tento html form action formulár:

Kód:
<form action="/tvoja adresa/lol.php" method="post">
     <input type="text" name="hodnota" value="400">
     <input type="submit" name="send">
</form>


po odoslaní, tohto formuláru s cudzieho suboru ti prepíše hodnotu $_POST['hodnota'] a tým padom ti odošle na form nechcenú hodnotu:)
v prípade že to potom niekam ukladáš, dostaneš podvrhnuté hodnoty.
toť príklad na použitie CSRF.

ide o najbežnejší útok na webe, a snad aj najhorší lebo je kvalifikovany v podstate ako bežný request, a brániť sa proti tomu nie je zrovna lahké.


Offline

Užívateľ
Užívateľ
Obrázok užívateľa

Registrovaný: 07.08.09
Prihlásený: 08.11.17
Príspevky: 139
Témy: 30 | 30
Napísal autor témyOffline : 01.01.2010 17:24 | ochrana $_POST

ako sa dá proti tomu zabrániť ?


_________________
NB : Toshiba A500 (C2D T6500 2.1GHz, 4 GB RAM, HDD 500 GB, GPU ATI R HD 4500)
Phone : Nokia Lumia 620 / Nokia 6300
Offline

Užívateľ
Užívateľ
ochrana $_POST

Registrovaný: 22.01.08
Prihlásený: 19.04.15
Príspevky: 492
Témy: 135 | 135
Bydlisko: Bratislava ...
NapísalOffline : 01.01.2010 18:02 | ochrana $_POST

bráni sa proti tomu veľmi ťažko, v podstate dve také najpriamejšie možnosti sú:

1. tokeny
2. overovanie

overovanie spočíva v tom, že pri odosielaní POST dát, sa spýtaš či skutočne chcete túto akciu vykonať, to nemá útočnik jak obísť, takže toto je prvá možnosť
ale to sa hodí skôr v administrácii a tak, lebo pýtať sa pri registrácii "chcete sa skutočne zaregistrovať?" by bolo asi trošku odveci...

tokeny sú známe, budeš generovať náhodné reťazce a čísla najlepšie pomocou troch funkcii, a to md5, uniqid, a rand. a potom overovať, či to súhlasí, zároveň je to aj o tom že token je na jedno použitie...potom stráca platnosť a viacej sa akcia pre ten token končí.

doporučujem prečítať články o Cross site request forgery(CSRF), je toho velmi vela...ako som povedal,
obrana proti tomuto 100% neexistuje. ide iba o to, čo najviac to útočníkovi sťažiť...


Offline

Užívateľ
Užívateľ
Obrázok užívateľa

Registrovaný: 07.08.09
Prihlásený: 08.11.17
Príspevky: 139
Témy: 30 | 30
Napísal autor témyOffline : 01.01.2010 18:08 | ochrana $_POST

no ono to je celé v administrácií.... má potom zmysel overovať ešte aj takéto formuláre ?


_________________
NB : Toshiba A500 (C2D T6500 2.1GHz, 4 GB RAM, HDD 500 GB, GPU ATI R HD 4500)
Phone : Nokia Lumia 620 / Nokia 6300
Offline

Užívateľ
Užívateľ
ochrana $_POST

Registrovaný: 22.01.08
Prihlásený: 19.04.15
Príspevky: 492
Témy: 135 | 135
Bydlisko: Bratislava ...
NapísalOffline : 01.01.2010 18:34 | ochrana $_POST

no pozri...celé to závisi od toho, že takto ta nemôže napadnúť hocikto.
ak mas toto v administracii, co predpokladam ze mas osetrene admin pravami a loginom, tak takto ta nikto napadnúť zvonku, ani z user uctu nemôže.
pointa tohto utoku je v tom, že ta niekto napr. skontaktuje a ukaze ti nejaku stranku ked ty budes prihlaseny v administracii. ty tam prides, ale nebudes vediet ze to odkazuje do tvojej administracii aby to tam nieco napr. vymazalo takže - tam prides, a utočník skrz teba infiltroval tvoju administraciu.
o tomto tento utok je. to isté aj z usermi obycajnymi.

a taky link sa da skryt vážne dobre, iframe, obrazky atd..proste ta to hned nenapadne alebo na to vobec neprides. a ked tak uz je neskoro


Offline

Užívateľ
Užívateľ
Obrázok užívateľa

Registrovaný: 07.08.09
Prihlásený: 08.11.17
Príspevky: 139
Témy: 30 | 30
Napísal autor témyOffline : 01.01.2010 18:45 | ochrana $_POST

ok.... inak ale robím fakt malý a veľmi úzko špecificý web, takže až do takej hĺbky to zas nemusím mať zabezpečené :)) diki


_________________
NB : Toshiba A500 (C2D T6500 2.1GHz, 4 GB RAM, HDD 500 GB, GPU ATI R HD 4500)
Phone : Nokia Lumia 620 / Nokia 6300
Offline

Užívateľ
Užívateľ
Obrázok užívateľa

Registrovaný: 21.09.09
Prihlásený: 03.08.10
Príspevky: 229
Témy: 43 | 43
NapísalOffline : 02.01.2010 0:21 | ochrana $_POST

Pri čítaní tejto témy ma napadla jedna moja skúsenost.

Hravam online hru travian a raz som si vytvoril HTML subor, ktory vyzeral asi takto:

Kód:
<form method=post action=http://www.travian.sk/login.php>
 <input type=text name=meno value="moj nick" />
</form>


...mal ma automaticky prihlasit...

a hned pri nacitani stranky som tento formular javascriptom odoslal...,
ale nefungoval mi...

Patral som a dopracoval som sa k zaujimavemu rieseniu ochrany dat. Cely system spocival v tom, ze nazov pola kam pisete meno a heslo sa pri kazdej navsteve stranky menil. Pravdepodobne to riesene pomocou session (relacií) a php. Potom som to použil aj na mojej stránke.

Kod vyzera asi takto:
Kód:
<?php
session_start();
$cislo=rand();
$_SESSION['meno'] = $cislo;
?>

<form method=post action=http://www.travian.sk/login.php>

 <input type=text name=
<?php echo $_SESSION['meno'] = $cislo; ?>
 value=moj nick />

</form>

...no a teraz nasleduje php skript, ktory ziska meno a heslo asi takto:
Kód:
$meno = $HTTP_POST_VARS[$_SESSION['meno']];

..a nasleduje pokracovanie skriptu, ktory vas prihlasi...

A bezpecne prihlasovanie je na svete...

Neviem ci ste to pochopili, mozno sa to zda tazke, ale kto ma nejake skusenosti s PHP urcite to zvladne...


Offline

Užívateľ
Užívateľ
Obrázok užívateľa

Registrovaný: 21.02.07
Prihlásený: 21.02.10
Príspevky: 3991
Témy: 96 | 96
NapísalOffline : 02.01.2010 0:32 | ochrana $_POST

Toto riešenie, nie je podľa mňa múdre.


Offline

Užívateľ
Užívateľ
Obrázok užívateľa

Registrovaný: 21.09.09
Prihlásený: 03.08.10
Príspevky: 229
Témy: 43 | 43
NapísalOffline : 02.01.2010 0:34 | ochrana $_POST

Mozem vedet preco?


Offline

Užívateľ
Užívateľ
ochrana $_POST

Registrovaný: 16.05.07
Prihlásený: 01.08.17
Príspevky: 837
Témy: 6 | 6
NapísalOffline : 02.01.2010 10:08 | ochrana $_POST

B.A.X.O píše:
spraví si súbor napr. attack.html, a donho umiestni tento html form action formulár:

Kód:
<form action="/tvoja adresa/lol.php" method="post">
     <input type="text" name="hodnota" value="400">
     <input type="submit" name="send">
</form>


po odoslaní, tohto formuláru s cudzieho suboru ti prepíše hodnotu $_POST['hodnota'] a tým padom ti odošle na form nechcenú hodnotu:)
a aka nechcena hodnota by to mala byt? sak to je ten isty formular len na zaciatku bude v tom inpute hodnota 400 predsa nechapem co si tym chcel poukazat..
a ked sa niekde prihlasujes tak sa ti ma brat hodnota z ineho suboru alebo databazy a porovnavat so zadanym hadam


Offline

Užívateľ
Užívateľ
ochrana $_POST

Registrovaný: 29.10.09
Prihlásený: 06.02.11
Príspevky: 64
Témy: 25 | 25
Bydlisko: Kosice
NapísalOffline : 02.01.2010 10:25 | ochrana $_POST

B.A.X.O poukazoval iba na to ze si hocikto moze vytvorit formular na svojej stranke a posielat to k tebe. V podstate je ten M1rcO_ov formular bezpecny pretoze nech formular odkazuje odkialkolvek vzdy prejdu autentifikaciou len cisla.


_________________
Apple Macbook White
Offline

Užívateľ
Užívateľ
ochrana $_POST

Registrovaný: 22.01.08
Prihlásený: 19.04.15
Príspevky: 492
Témy: 135 | 135
Bydlisko: Bratislava ...
NapísalOffline : 02.01.2010 11:11 | ochrana $_POST

aspoň ako ja počúvam, tak sa to rieši obvykle tokenmi s platnosťou.
to znamená že to nezastaví útok na 100% ale napr, keď nastavíš platnosť desať sekúnd, a je tam token ktorý sa mení, tak útočník musí zakaždým token okopírovať, nemôže to nijak inak lebo je tam vždy iný, kym to nakopíruje do toho form actionu, uloží, tak čas vypršal...no ono to nie je 100% ochrana, ale ja mam niečo podobné...

inak juho, a registracny form ta nenapadol? tam budem odkial brat udaje? neviem čo sa ti nevidí...prečítaj si niečo o CSRF než ti niekto zloží web.
podstata toho je v tom, že keď dám všetko tak isto ako overuje PHP subor, aj meno submitu tak sa to kvalifikuje ako normalny request:)

a nemení to nič na tom, že ked už tam má ten is_numeric tak budem posielať len číselné hodnoty:) to dalej môže ošetriť povolenými miestami, na napr. dvojciferné číslo...

žiadna ochrana nie je 100%, proste je to jeden z najhorších útokov. to ja som raz vymýšlal, že by som po odoslaní presmeroval na jeden s petice suborov, a odtial zas na dalsiu peticu ktora uz by vykonala to co ma, pricom s tej prve petice by sa presuval vykonavaci kod do tej druhej...
to znamená že útočník by nevedel čo tam má prepísať, dostával by sa na súbory náhodne a velmi ťažko by sa na to prišlo...zvlast po tom co by som tam dal htacces s blokovanim tychto suborov.
(ale tento sposob bol spojeny s jednym ajax kodom, normalne by to bolo asi zbytocne)

neviem no, raz možno niekto príde s nejakým prevratným riešením.


Offline

Skúsený užívateľ
Skúsený užívateľ
ochrana $_POST

Registrovaný: 29.10.07
Prihlásený: 12.06.17
Príspevky: 1408
Témy: 28 | 28
Bydlisko: Bratislava
Vek: 36
NapísalOffline : 02.01.2010 11:45 | ochrana $_POST

tokeny s platnostou su riadne nechutna zalezitost :) Vzdy treba citlivo pristupovat k hranici medzi bezpecnym a pre uzivatela prijemnym webom. Tokeny s platnostou par sekund su hodne daleko za touto hranicou prijemneho pouzivania. Web bude bezpecnejsi, ale neustale hlasky o neplatnych tokenoch kazdeho otravia.


_________________
PC: OS: Windows 10 (64bit) CPU: INTEL Core i5-4440 GPU: ASUS ATI R9280X RAM: Kingston 8GB DDR3 1600MHz MB: MSI B85-G43 Gaming HDD: Seagate 1TB HDD Barracuda SSD: SAMSUNG 120GB HDD 840 EVO CASE: COOLERMASTER N400
Mobil: OS: Android 4.4.2 Model: LG G2 D802 16GB
Offline

Užívateľ
Užívateľ
Obrázok užívateľa

Registrovaný: 21.09.09
Prihlásený: 03.08.10
Príspevky: 229
Témy: 43 | 43
NapísalOffline : 02.01.2010 11:45 | ochrana $_POST

Kto nasiel sposob ako prelomit moje zabezpecenie nech sa ozve. Zagratulujem mu. Mne sa to nepodarilo ani raz...


Offline

Skúsený užívateľ
Skúsený užívateľ
ochrana $_POST

Registrovaný: 29.10.07
Prihlásený: 12.06.17
Príspevky: 1408
Témy: 28 | 28
Bydlisko: Bratislava
Vek: 36
NapísalOffline : 02.01.2010 11:50 | ochrana $_POST

Neruzumiem preco dynamickemu priradovaniu nazvu pre fieldy na stranke hovoris ochrana :)
A nerozumiem co na tom chces prelomit. S bezpecnostou to nema absolutne nic spolocne.


_________________
PC: OS: Windows 10 (64bit) CPU: INTEL Core i5-4440 GPU: ASUS ATI R9280X RAM: Kingston 8GB DDR3 1600MHz MB: MSI B85-G43 Gaming HDD: Seagate 1TB HDD Barracuda SSD: SAMSUNG 120GB HDD 840 EVO CASE: COOLERMASTER N400
Mobil: OS: Android 4.4.2 Model: LG G2 D802 16GB
Offline

Užívateľ
Užívateľ
ochrana $_POST

Registrovaný: 16.05.07
Prihlásený: 01.08.17
Príspevky: 837
Témy: 6 | 6
NapísalOffline : 02.01.2010 11:59 | ochrana $_POST

tyr píše:
B.A.X.O poukazoval iba na to ze si hocikto moze vytvorit formular na svojej stranke a posielat to k tebe.
no sak to vie predsa kazdy ze si moze vytvorit postovy formular a posielat ho kam chce, to neje ziadne tajomstvo takze neviem co sa natom tak vzrusujes
B.A.X.O píše:
inak juho, a registracny form ta nenapadol? tam budem odkial brat udaje? neviem čo sa ti nevidí...prečítaj si niečo o CSRF než ti niekto zloží web.
podstata toho je v tom, že keď dám všetko tak isto ako overuje PHP subor, aj meno submitu tak sa to kvalifikuje ako normalny request:)
sak to aj je normalny request ocom ty pises ja ta nechapem sak to je normalne predsa nato su formulare aby si nemusel chodit na tu stranku a vsetko nacitavat spravis si vlastny a mas to rychlejsie. a ak chces aby to mohol zadavat len "na tvojej stranke"(pretoze html kod sa stahuje vzdy ku klientovi az si to nevedel) tak do toho php kodu pridaj este podmienku ze po submite bol presmerovany z tvojej url adresy
Kód:
$_SERVER[HTTP_REFERER]
ale aj tak ti to je nanic pretoze kludne po nacitani si mozes do navigatoru napisat nieco ako
Kód:
javascript:void(document.forms[0].hodnota.value=400)
a mas ten isty formular(podla teba ten nepravy)a v hlavicke si presmerovany z toho tvojho formulara tak nechapem ze co teba natom vzrusuje... na tomto nieje nic nebezpecne


Offline

Užívateľ
Užívateľ
ochrana $_POST

Registrovaný: 22.01.08
Prihlásený: 19.04.15
Príspevky: 492
Témy: 135 | 135
Bydlisko: Bratislava ...
NapísalOffline : 02.01.2010 12:22 | ochrana $_POST

HTTP referer ti obídem za pár sekund addonom do firefoxu, konkretne RefControl ;)

Citácia:
tokeny s platnostou su riadne nechutna zalezitost Vzdy treba citlivo pristupovat k hranici medzi bezpecnym a pre uzivatela prijemnym webom. Tokeny s platnostou par sekund su hodne daleko za touto hranicou prijemneho pouzivania. Web bude bezpecnejsi, ale neustale hlasky o neplatnych tokenoch kazdeho otravia.



ale ja som to dal ako príklad:) môj token môže mať platnosť tak 30min, tak snáď keď už user na ten form príde, tak snáď ho aj odošle, a nebude čakať 30min dokial vyprší token...to je potom odveci, za to si môže sám.


Offline

Užívateľ
Užívateľ
Obrázok užívateľa

Registrovaný: 26.02.08
Prihlásený: 24.05.13
Príspevky: 372
Témy: 66 | 66
Bydlisko: Nové Zámky
NapísalOffline : 03.01.2010 1:35 | ochrana $_POST

sak ked prijmas udaje od usera tak isch treba poosetrovat..napr ked je tam policko tel cislo tak kontrolujes ci obsahuje iba tie znaky ktore ma obsahovat nie? tak to je asi najlepsie alebo sa mylim? ked mas udaje na meno tak po odoslani kontrolujem dlzk ua ci odoslany obsah obsahuje iba povolene znaky neviem zatial zeby niekto mal v mene znaky ako <>'!: atd..


Offline

Užívateľ
Užívateľ
ochrana $_POST

Registrovaný: 16.05.07
Prihlásený: 01.08.17
Príspevky: 837
Témy: 6 | 6
NapísalOffline : 03.01.2010 9:56 | ochrana $_POST

Blackdevil píše:
sak ked prijmas udaje od usera tak isch treba poosetrovat..napr ked je tam policko tel cislo tak kontrolujes ci obsahuje iba tie znaky ktore ma obsahovat nie? tak to je asi najlepsie alebo sa mylim? ked mas udaje na meno tak po odoslani kontrolujem dlzk ua ci odoslany obsah obsahuje iba povolene znaky neviem zatial zeby niekto mal v mene znaky ako <>'!: atd..
nie to nieje to.
to ma byt nieco take ze ty si vytvoris web s prihlasovanim uzivatelov a s funkciami ze uzivatel si moze mazat nieco (napr: vlastne prispevky).
tento uzivatel sa prihlasi na tvoj web pomocou session napr. no a teraz ta hlavna vec ze z nejakeho dovodu ten prihlaseny uzivatel medzitym jak beha po tvojich strankach navstivi este ten utocny web, ktory je zamerany robit skody na tvojom(uz to je pravdepodobne jak styri svine) a na tom utocnom webe by mal byt nejaky skryty iframe aby ho ten "oklamany" uzivatel nevidel ktory by odkazoval na tvoju stranku pricom by mal vymazat nieco. a to si vyzaduje aby ten co robil ten utocny web poznal funkcie tvojho webu ako napr: mazanie prvkov
Kód:
prvky.php?vymaz&id=5
co znamena ze ten co robil ten utocny web namiereny proti tvojmu musel sa uteba zaregistrovat a zistit ako to tam funguje.
a teraz spat k tomu iframeu:
ten by mal v sebe az mas to mazanie spravene cez potvrdzovaci formular form s action="wewewe.tvojweb.com/.../prvky.php?vymaz&id=5" a metodou post a tie prvky co sa postuju a este tam odoslanie formulara najskor cez js document.form["formular"].submit() a az to mas len cez odkaz alebo get tak ten iframe by odkazoval na wewewe.tvojweb.com/.../prvky.php?vymaz&id=5
pricom ten uzivatel by musel mat platne prihlasovacie session z tvojho webu.


Offline

Užívateľ
Užívateľ
ochrana $_POST

Registrovaný: 22.01.08
Prihlásený: 19.04.15
Príspevky: 492
Témy: 135 | 135
Bydlisko: Bratislava ...
NapísalOffline : 03.01.2010 10:12 | ochrana $_POST

juho píše:
nie to nieje to.
to ma byt nieco take ze ty si vytvoris web s prihlasovanim uzivatelov a s funkciami ze uzivatel si moze mazat nieco (napr: vlastne prispevky).
tento uzivatel sa prihlasi na tvoj web pomocou session napr. no a teraz ta hlavna vec ze z nejakeho dovodu ten prihlaseny uzivatel medzitym jak beha po tvojich strankach navstivi este ten utocny web, ktory je zamerany robit skody na tvojom(uz to je pravdepodobne jak styri svine) a na tom utocnom webe by mal byt nejaky skryty iframe aby ho ten "oklamany" uzivatel nevidel ktory by odkazoval na tvoju stranku pricom by mal vymazat nieco. a to si vyzaduje aby ten co robil ten utocny web poznal funkcie tvojho webu ako napr: mazanie prvkov
Kód:
prvky.php?vymaz&id=5
co znamena ze ten co robil ten utocny web namiereny proti tvojmu musel sa uteba zaregistrovat a zistit ako to tam funguje.
a teraz spat k tomu iframeu:
ten by mal v sebe az mas to mazanie spravene cez potvrdzovaci formular form s action="wewewe.tvojweb.com/.../prvky.php?vymaz&id=5" a metodou post a tie prvky co sa postuju a este tam odoslanie formulara najskor cez js document.form["formular"].submit() a az to mas len cez odkaz alebo get tak ten iframe by odkazoval na wewewe.tvojweb.com/.../prvky.php?vymaz&id=5
pricom ten uzivatel by musel mat platne prihlasovacie session z tvojho webu.


gratulujem juho, niekto si tu prečítal článok Jakuba Vrány o CSRF...
ale hlavne že už si tomu pochopil ;)


Offline

Užívateľ
Užívateľ
ochrana $_POST

Registrovaný: 16.05.07
Prihlásený: 01.08.17
Príspevky: 837
Témy: 6 | 6
NapísalOffline : 03.01.2010 10:39 | ochrana $_POST

keby si cital prispevky co som napisal tak by si vedel ze ja som to chapal odzaciatku
B.A.X.O píše:
gratulujem juho, niekto si tu prečítal článok Jakuba Vrány o CSRF...
ale hlavne že už si tomu pochopil ;)
lenze ty si to asi neprecital...
to je viac teoreticka vec nez prakticka takze tak..
a IE teraz by to mal uz zablokovat pretoze IE teraz uz blokuje uplne vsetko.
a ine prehliadace by mali mat voci takemu niecomu tiez ochrany takze si uplne vedla podla mojho skromneho nazoru.


Offline

Užívateľ
Užívateľ
ochrana $_POST

Registrovaný: 22.01.08
Prihlásený: 19.04.15
Príspevky: 492
Témy: 135 | 135
Bydlisko: Bratislava ...
NapísalOffline : 03.01.2010 11:30 | ochrana $_POST

juho píše:
keby si cital prispevky co som napisal tak by si vedel ze ja som to chapal odzaciatkulenze ty si to asi neprecital...
to je viac teoreticka vec nez prakticka takze tak..
a IE teraz by to mal uz zablokovat pretoze IE teraz uz blokuje uplne vsetko.
a ine prehliadace by mali mat voci takemu niecomu tiez ochrany takze si uplne vedla podla mojho skromneho nazoru.


odmietam sa tu s tebou hádať juho. Ako môžu byť prehliadače voči tomuto odolné, ked je to v podstate normálny request? ty si asi slepý, neviem kto nečíta čo ja píšem...keby boli voči tomu browsre odolné, ani to tu nespomínam...

tento príspevok konkretne:
Citácia:
a aka nechcena hodnota by to mala byt? sak to je ten isty formular len na zaciatku bude v tom inpute hodnota 400 predsa nechapem co si tym chcel poukazat..
a ked sa niekde prihlasujes tak sa ti ma brat hodnota z ineho suboru alebo databazy a porovnavat so zadanym hadam


značí že si to pochopil? neznačí, tak sa nediv že ti píšem čo ti píšem.
až teraz o dva prispevky vyššie si konečne vystihol podstatu CSRF.
inak ja sa ospravedlnujem ak som prehliadol niečo čo si napísal, ale ja som sa ti aspoň ospravedlnil a priznám si to.
kdezto ty klepes jedno cez druhe, ako rezne...a nepriznas si to.


Offline

Užívateľ
Užívateľ
ochrana $_POST

Registrovaný: 16.05.07
Prihlásený: 01.08.17
Príspevky: 837
Témy: 6 | 6
NapísalOffline : 03.01.2010 12:57 | ochrana $_POST

ked tomu neveris a myslis si ze mas pravdu tak dokaz co tvrdis.
napriklad na pcforum: sprav stranku aby to zmenilo uzivatelovu emailovu adresu... na trebars xxx@xx.xx a aby to bolo funkcne aj ked nikomu nenahovoris aby si otvoril nejaku stranku(" tu co spravis ") co vobec nepozna a pritom aby mal aktivne session pre prihlasenie na pcforum.
a az to nedokazes tak potom je zbytocne tu strasit ludi niecim takym ako je tamta zalezitost.
az to dokazes tak potom mas pravdu ty a to uz nikto nebude moct vyvratit


Offline

Čestný člen
Čestný člen
ochrana $_POST

Registrovaný: 11.08.07
Príspevky: 4110
Témy: 30 | 30
Bydlisko: Brno
NapísalOffline : 03.01.2010 13:23 | ochrana $_POST

juho
Pozri na http://djpw.cz/100283, phpBB ma proti tomu obranu (vyzaduje sid), niektore ine systemy nie. Ak si system nedokazes zabezpecit dostatocne (vyzadovanim http_referera alebo nejak inak), hocikto ti moze podvrhnut takyto formular a narobis si skodu.
To s tou odolnostou prehliadacov som tiez nepochopil.


Offline

Užívateľ
Užívateľ
ochrana $_POST

Registrovaný: 16.05.07
Prihlásený: 01.08.17
Príspevky: 837
Témy: 6 | 6
NapísalOffline : 03.01.2010 14:04 | ochrana $_POST

Ďuri píše:
phpBB ma proti tomu obranu (vyzaduje sid), niektore ine systemy nie.
ono toho ma aj viac a pre zmenu emailu vyzaduje dokonca aj heslo
Kód:
<input type="hidden" name="agreed" value="bd071a4ea47f583c9ed3f37bd9d8fffb" />
<input type="hidden" name="sid" value="b6e478e37a936acae8677ba112026fec" />
<input type="hidden" name="user_id" value="5396" />
a take nieco ako vybrat hodnoty cez iframe nepozname ze .. no tak na nejakom inom webe teda mne natom nezalezi...

a este doplnim co som pisal uz predtym, ale teraz to nieje odomna .
: cross-site-request-forgery útok na webovou aplikaci je možný,jen pokud oběť navštíví útočníkovu stránku, která odešle předem připravený formulář (např. akce typu „smaž vše“).
: Útočník musí znát webovou aplikaci. Musí připravit formulář s akcí, která se provede, až oběť navštíví útočníkovu stránku.
: Útočník musí oběť nějak přesvědčit, aby navštívila jeho stránku. Asi nejjednodušším příkladem je e-mail s odkazem a textem: „už jsi viděl dnešní vtip na mém blogu?“
a este neviem preco to tam nieje zdoraznene pretoze to je ta najdolezitejsia cast
: Útok totiž proběhne z prohlížeče oběti (která je přihlášena do aplikace) a odeslání formuláře směřuje do aplikace oběti (do které je oběť přihlášena). (musi byt aktivne prihlasena a to tym emailom asi nedosiahne ze by poslal postou pozri si ten vtip ale najprv sa predtym este prihlas na tento web dakujem za dodrzanie instrukcii)

az sa toto niekomu podari tak obeť si priamo ziada aby bola oklamana. a aj tak to stale nieje utok ako taky na web. pravdaze az ta obet nieje administrator, ale aj tak by utocnik musel poznat jeho system. ale je to utok nanajvys na konto uzivatela.


Offline

Čestný člen
Čestný člen
ochrana $_POST

Registrovaný: 11.08.07
Príspevky: 4110
Témy: 30 | 30
Bydlisko: Brno
NapísalOffline : 03.01.2010 14:27 | ochrana $_POST

juho píše:
a take nieco ako vybrat hodnoty cez iframe nepozname ze

Nepozname, neda sa to, nemozes sa rypat v strome dokumentu na cudzej domene.
Kazdopadne, nemas pravdu v tom, ze je to viac teoreticka ako prakticka zalezitost. Vacsina amaterskych aplikacii sa proti CSRF vobec nebrani a ozaj nie je tazke podvrhnut prihlasenemu uzivatelovi odkaz (kludne moze utocnik pouzit trebars tinyurl), staci vediet, ako ho donutit na to kliknut, a ver mi, nie je to tazke.


Offline

Užívateľ
Užívateľ
ochrana $_POST

Registrovaný: 20.03.08
Prihlásený: 08.03.17
Príspevky: 596
Témy: 149 | 149
Bydlisko: Houston, Texas
Vek: 24
NapísalOffline : 07.01.2010 8:40 | ochrana $_POST

a ešte, čo sa týka ochrany, keby som povedzme spravil v DB tabulku s ID,HASH,TIME a vždy pri vstupe na formular by sa vygeneroval riadok a potom sa do formulara dali hodnoty
Kód:
<input type="hidden" name="id" value="1" />
<input type="hidden" name="hash" value="b6e478e37a936acae8677ba112026fec" />

a potom následne by som overil že či hash zodpovedá ID a že či je ešte platný na základe času?
poprípade tu ID posielať v adrese


 [ Príspevkov: 43 ] 1, 2


ochrana $_POST



Podobné témy

 Témy  Odpovede  Zobrazenia  Posledný príspevok 
V tomto fóre nie sú ďalšie neprečítané témy.

Aka ochrana zariadenia (bleskoistka, prep. ochrana)

v Siete

2

227

06.10.2012 18:38

peto007

V tomto fóre nie sú ďalšie neprečítané témy.

$_POST

v PHP, ASP

11

825

13.02.2008 12:57

stenley

V tomto fóre nie sú ďalšie neprečítané témy.

Bezpecnost $_POST

v PHP, ASP

26

666

15.01.2015 23:57

chrono

V tomto fóre nie sú ďalšie neprečítané témy.

spam ochrana, sql ochrana

v PHP, ASP

14

546

08.01.2011 23:56

Feko

V tomto fóre nie sú ďalšie neprečítané témy.

pomoc s $_POST

v PHP, ASP

17

619

10.03.2008 11:16

mondzo

V tomto fóre nie sú ďalšie neprečítané témy.

guestbook - vyprazdnenie $_POST a ...

v PHP, ASP

2

688

19.01.2009 20:58

Ded'leg

V tomto fóre nie sú ďalšie neprečítané témy.

Filtrovanie $_POST, viacrozmerne pole

v PHP, ASP

7

382

24.11.2008 8:14

stenley

V tomto fóre nie sú ďalšie neprečítané témy.

chyba vo formluari - nenačíta premennu z $_POST

v PHP, ASP

6

208

25.11.2012 16:00

dafo

V tomto fóre nie sú ďalšie neprečítané témy.

$_POST['pole']['item'] kombinácia viacerých typov inputov

v PHP, ASP

20

614

30.08.2011 19:46

camo

V tomto fóre nie sú ďalšie neprečítané témy.

Rezidentná ochrana vs. rezidentná ochrana

v Antivíry a antispywary

6

886

23.04.2008 22:56

strongy

V tomto fóre nie sú ďalšie neprečítané témy.

Ochrana

v Antivíry a antispywary

2

561

20.12.2007 12:42

shiro

V tomto fóre nie sú ďalšie neprečítané témy.

ochrana

[ Choď na stránku:Choď na stránku: 1, 2, 3 ]

v Antivíry a antispywary

73

2826

05.06.2008 15:51

Qpkqkma

V tomto fóre nie sú ďalšie neprečítané témy.

ochrana

v Elektronika

3

614

31.01.2008 16:53

bugi512

V tomto fóre nie sú ďalšie neprečítané témy.

ochrana

v Antivíry a antispywary

8

755

24.01.2008 14:20

mimkork

V tomto fóre nie sú ďalšie neprečítané témy.

Prepäťova ochrana

v PC skrinky, zdroje a všetky druhy chladenia

13

759

26.11.2007 10:50

Aqw3R

Táto téma je zamknutá, nemôžete posielať nové príspevky alebo odpovedať na staršie.

Ochrana PC

v Antivíry a antispywary

1

216

26.12.2011 10:08

jtbs



© 2005 - 2017 PCforum, edited by JanoF