Ik ben bezig met het beveiligen van mijn query's tegen offlink submits. Ofterwijl, je mag geen $_POST[''] kunnen uitvoeren vanaf een andere site. Ik kom hier helaas niet helemaal uit. Het moet namelijk 100% betrouwbaar zijn, en bij alle 'agents' werken. En dan valt helaas $_SERVER['HTTP_REFERER'] al af.
Citaat:
The address of the page (if any) which referred the user agent to the current page. This is set by the user agent. Not all user agents will set this, and some provide the ability to modify HTTP_REFERER as a feature. In short, it cannot really be trusted.
Ook moet hij de ?news_id=#&page=# en dergelijke negeren, anders gaat het ook nooit werken? Wie weet hoe ik mijn formulieren goed kan beveiligen tegen submits van buiten af.
Hmz, dat heb ik nu. Maar alsnog, dan copieër je de 'hidden code' gewoon uit sourcecode en dan werkt hij alsnog. En ook dat is te automatiseren (met behulp van c++ of misschien zelfs php?) Of zie ik dit nou verkeerd? Of moet ik dit misschien anders aanpakken? Want dit is volgensmij niet 100% veilig.
Twee posts van mij achter elkaar? Het zou niet mogen he? Dit was dus mijn eerste doel om te voorkomen op mijn site. Dubbelpost als query niet accepteren door een 'last poster controle' voordat hij de query execute. En nu wil ik dus voorkomen dat ze überhaupt via en offlink formulier kunnen posten. Echter heeft Sitemasters zo te merken geen van beide. Even een report van gemaakt.Laat ik meteen voor de duidelijkheid vertellen dat abuse van dit niet op Sitemasters thuis hoort, en ik weet vrijwel zeker dat abuse op deze manier zwaar wordt bestaft. Ten tweede hoop ik natuurlijk dat de crew mijn testpost niet als abuse ziet, aangezien ik hier een report van heb gemaakt naar Joël toe.
Oke, als je op deze manier nou de db had gehacked dan had je nog enigzins credit van me gekregen. Maar wat je hier laat zien weet iedereen ondertussen al.
Ook dat als een topic gesloten wordt jij nogsteeds kan reageren als jij het form nog maar voor je neus hebt. Dus je kunt via deze methode ook gewoon replyen op gesloten topics (dat kon iig wel).
Maar alsnog, dan copieër je de 'hidden code' gewoon uit sourcecode en dan werkt hij alsnog.
Ja, en wat boeit het dan nog? Dan is de bezoeker uiteindelijk op de pagina geweest, en vult hij een formulier in (op de pagina zelf of via een eigen pagina) en verstuurt vervolgens de gegevens naar een andere pagina, die de juiste $_POST waarden opvangt. Wat is dan nog het probleem?
Credits boeien me niet zoveel ;)
Iedereen? Nah, ik wist 't niet.. en het is makkelijk te verhelpen met en kleine controle?
Citaat:
Dus je kunt via deze methode ook gewoon replyen op gesloten topics (dat kon iig wel).
Ja, kan nog steeds.
En in de pm naar joël stond ook:
Citaat:
Ik weet niet of jullie dit überhaupt erg vinden of niet, maar ik dacht laat ik er maar even en melding van maken.
Dus mocht het niet bekend zijn, en mocht het ongewild zijn.. Dan zouden ze er wat aan kunnen doen, maar volgens jouw zeggen vinden zij het dus niet belangrijk... Nouja, dan laten ze het toch zo?
Citaat:
Dan is de bezoeker uiteindelijk op de pagina geweest, en vult hij een formulier in (op de pagina zelf of via een eigen pagina) en verstuurt vervolgens de gegevens naar een andere pagina
Agreed =) Dan laat ik het zoals het nu is. Thanks.
"Hij die iets breekt om te zien wat het inhoudt, heeft het pad der wijzen verlaten."
Elk "systeem" is in principe plat te krijgen. De moeite om iets "compleet veilig" te maken weegt op den duur niet meer op tegen de "schade" die iemand hiermee kan berokkenen.
Fijn dat je zo'n uber haxxor bent dat je kan dubbelposten / reacties in gesloten topics kunt wijzigen. Probeer zelf maar eens een forum te maken die al dit soort imbeciele fratsen uitsluit, en kom dan je beklag doen dat het beter kan. kthxbye.
Ik las lang geleden ooit een quote van FangorN, die zijn post op dit moment goed zou kunnen aanvullen:
'It's hard to make something idiot-proof because idiots tend to be more ingenious'
Fijn dat je zo'n uber haxxor bent dat je kan dubbelposten / reacties in gesloten topics kunt wijzigen. Probeer zelf maar eens een forum te maken die al dit soort imbeciele fratsen uitsluit, en kom dan je beklag doen dat het beter kan. kthxbye.
@FargorN, sorry maar wat een achterlijke reactie! Het is volgensmij vrij menselijk, om een bug te reporten als je er achter komt. En nee, ik klaag niet, ik laat het alleen even weten, maar dat staat jouw zo te zien niet helemaal aan. En ik probeer ook niet de 'uber haxxor' uit te hangen, gewoon een report. En wat heeft een report te maken met 'dat ik het zogenaamd beter kan?'. Dat weten we allemaal wel dat mij dat niet lukt, en dat probeer ik ook zeker NIET te bewijzen. Dus simpelweg een trieste opmerking, maarja..
Maar jij verwonderd dat je kan dubbelposten terwijl ongeveer elke member + crew dit al weet, dus daarom is jou opmerking onzinniger omdat je denkt een bug/of whatever gevonden te hebben terwijl het allang bekend is
Maar jij verwonderd dat je kan dubbelposten terwijl ongeveer elke member + crew dit al weet, dus daarom is jou opmerking onzinniger omdat je denkt een bug/of whatever gevonden te hebben terwijl het allang bekend is.
En wat is er dan zo moeilijk aan om bijvoorbeeld het volgende te zeggen:
Het is volgensmij vrij menselijk, om een bug te reporten als je er achter komt.
Het forum werkt naar behoren bij mijn weten. Dat is wat anders dan opzettelijk proberen het forum onderuit te halen. Proficiat, het is gelukt. Who cares.
Als je buiten de normale paden treedt vind je altijd wel iets waar je over kunt struikelen. Fijn dat je iedereen waarschuwt voor de rotsen en takken, maar eigenlijk hoorde je er in de eerste plaats niet te zijn...
Dat is wat anders dan opzettelijk proberen het forum onderuit te halen.
Crap, als men het niet erg vind dat je door kunt posten terwijl er een slotje op zit, en dat al 'zó' bekend is, waarom zou het dan überhaupt mogelijk zijn om daarop een forum 'onderuit' te halen?
Citaat:
Fijn dat je iedereen waarschuwt voor de rotsen en takken, maar eigenlijk hoorde je er in de eerste plaats niet te zijn...
Wat is jouw favoriete javascript framework? (S: 18, R: 2)
Gesponsorde links
Actiefste leden van de maand
