Stránka: 1 z 1
| [ Príspevkov: 7 ] | |
| Autor | Správa |
|---|
Registrovaný: 22.01.08
Prihlásený: 19.04.15
Príspevky: 492
Témy: 135 | 135
Bydlisko: Bratislava ... |
ako sa proti tomuto zabezpečiť? mám script ktorý odkazuje na subor.php?id=82 napr. a to vymaže prispevok s daným ID...
no to je ale trocha problém, lebo niekto moze do adresy napisat subor.php?id=82 a zmaže to...i ked toto je len v administracii ale v statusbare sa ta adresa objavi a tak:( no skusal som nahradit GET, POSTom ale to uz potom nefunguje. ako sa riesi toto?
|
|
Registrovaný: 04.04.07
Prihlásený: 17.07.24
Príspevky: 532
Témy: 35 | 35
Bydlisko: Bratislava |
staci ten skript osetrit tak, ze to moze urobit iba admin:
Kód: if(admin == 1) {
delete
} else return false;
_________________
CPU: AMD Phenom II 940 QUAD X4 BE AM2+, chladic: Arctic Cooling Freezer 64 Pro, RAM: 4GB DDR2 800MHz PC6400, MB: M2N-E SLI, VGA: RX 4870 GAINWARD HD4870 1GB, HDD: WD 1TB, Zdroj: CORSAIR 750W TX |
|
Registrovaný: 22.01.08
Prihlásený: 19.04.15
Príspevky: 492
Témy: 135 | 135
Bydlisko: Bratislava ... |
hm diky za napad! tvoj kod asi nie je zly, ale pouzil som vlastny podla ktoreho ma usposobeny cely script
uz to ide dobre...
|
|
Registrovaný: 30.05.06
Prihlásený: 08.10.14
Príspevky: 1756
Témy: 35 | 35
Bydlisko: BA - WESTSIDE |
Ale pozor, to situáciu úplne nerieši. Tomuto útoku sa hovorí CSRF: Cross-Site Request Forgery. Niekto ťa prinúti ísť na nejakú stránku a na nej bude napr kód:
Kód: <img src="http://www.tvojastranka.sk/subor.php?id=100"> Ak budeš zároveň prihlásený, tak sa ten skript spustí a súbor sa vymaže. Obrana proti tomuto typu útokov je zložitejšia. Útočníkovi to môžeš sťažiť ak budeš na mazanie používať výlučne POST metódu. Ani to však nie je 100% ochrana. Tou sú špeciálne tokeny. Princíp tokenov funguje takto: keď si dáš zobraziť nejakú stránku na ktorej je tlačidlo "Vymazať", vygeneruješ špeciálny token (nejaký reťazec, zakaždým iný!). Tento token si uložíš (najlepšie asi do databázy) a zároveň ho zahrnieš ako tajné formulárové pole Kód: <input type="hidden" value="totoJeTvojUnikatnyToken" . Keď niekto niekedy stlačí tlačidlo "Vymazať", s idčkom článku na vymazanie sa zároveň odošle token. Pri spracúvaní požiadavku sa pozrieš, či je niekde v databázi tento token. Ak je, požiadavka určite odišla z tvojej administrácie a môžeš token zneplatniť a článok vymazať. Inak sa článok nevymaže (a môžeš napr. zobraziť chybovú hlášku).
Je veľmi dôležité, aby sa tokeny vždy použili iba raz a aby sa neopakovali. Potom si tiež treba napísať údržbový skript, ktorý raz za čas vymaže staré nepoužité tokeny.
_________________
A. S. Tanenbaum píše: The terms LF, MF, and HF refer to low, medium, and high frequency, respectively. Clearly, when the names were assigned, nobody expected to go above 10 MHz, so the higher bands were later named the Very, Ultra, Super, Extremely, and Tremendously High Frequency bands. Beyond that there are no names, but Incredibly, Astonishingly, and Prodigiously high frequency (IHF, AHF, and PHF) would sound nice. |
|
Registrovaný: 26.11.06
Prihlásený: 09.10.24
Príspevky: 4118
Témy: 319 | 319
Bydlisko: HE/BA |
Ja to riešim tak, že mám v každom súbore na začiatku overenie, či je v administrácií, a tam som len ak sa nachádzam v priečinku administrácie a ak som prihlásený ako admin, a aj keď sa niekomu podarí to vymazať tak len zmením jednu hodnotu v databáze a je to späť, také riešenie by nestačilo? Inak p360t trochu som nepochopil tvojím tokenom  veď ten token tam bude či je admin alebo nieje, nie?
|
|
Registrovaný: 21.02.07
Prihlásený: 21.02.10
Príspevky: 3984
Témy: 96 | 96 |
Drako: pokiaľ to chceš riešiť cez GET tak sa budeš pýtať na existenciu tokenu a pokiaľ neexistuje tak si na stránke predtým nebol ...
|
|
Registrovaný: 30.05.06
Prihlásený: 08.10.14
Príspevky: 1756
Témy: 35 | 35
Bydlisko: BA - WESTSIDE |
Nie, tie tokeny sú o tom, že len ten človek, ktorý naozaj navštívil administráciu má k dispozícii (práve jeden) aktívny token. CSRF sa robí tak, že adminovi podstrčíš nejakú URL, ktorá mení obsah stránky, ale keď nevieš hodnotu aktívneho tokenu, nemáš mu ako podstrčiť škodlivú URL. Samozrejme, neochráni ťa to, keď už útočník sám získa prístup do administrácie, ale vtedy si aj tak môže viac-menej robiť čo sa mu zachce.
_________________
A. S. Tanenbaum píše: The terms LF, MF, and HF refer to low, medium, and high frequency, respectively. Clearly, when the names were assigned, nobody expected to go above 10 MHz, so the higher bands were later named the Very, Ultra, Super, Extremely, and Tremendously High Frequency bands. Beyond that there are no names, but Incredibly, Astonishingly, and Prodigiously high frequency (IHF, AHF, and PHF) would sound nice. |
|
Stránka: 1 z 1
| [ Príspevkov: 7 ] | |
Podobné témy | | Témy | Odpovede | Zobrazenia | Posledný príspevok |
|---|
 | v PHP, ASP | 8 | 670 | 30.04.2011 22:17 emer | | v PHP, ASP | 0 | 567 | 06.06.2010 18:20 Unlink | | v PHP, ASP | 6 | 429 | 22.02.2016 13:54 stenley | | v Operačné systémy Microsoft | 2 | 408 | 11.10.2010 13:49 Mego | | v PHP, ASP | 4 | 502 | 28.04.2010 15:00 jtomcik | | v JavaScript, VBScript, Ajax | 4 | 878 | 01.12.2009 14:51 pilná lama glama | | v Assembler, C, C++, Pascal, Java | 3 | 766 | 18.03.2012 20:43 Fico | | v PHP, ASP | 4 | 607 | 21.02.2009 20:12 Xardas | | v PHP, ASP | 1 | 531 | 30.01.2009 22:08 stenley | | v PHP, ASP | 3 | 376 | 27.07.2012 4:13 TheRay | | v PHP, ASP | 3 | 419 | 24.04.2010 0:13 djsulo |  | v PHP, ASP | 15 | 932 | 20.02.2009 11:01 newboy1 | | v PHP, ASP | 11 | 778 | 05.06.2008 15:23 Tominator | | v Ostatné | 4 | 641 | 13.04.2010 1:04 Blackshadow | | v Operačné systémy Unix a Linux | 5 | 688 | 18.02.2010 10:44 Ďuri | | v PHP, ASP | 3 | 367 | 19.12.2014 16:34 chrono |
|
