View Full Version : امنیت در اطلاعات پست شده
mohammad-gh
جمعه 03 بهمن 1393, 18:26 عصر
با سلام
اطلاعاتی در یک صفحه از طریق پست (POST یا GET) ارسال و در بانک اطلاعاتی ذخیره میشود
حالا فکر کنید همون اطلاعات رو یک فرم در یک جای دیگه و خارج از سایت خودمان داره ارسال می کنه
مثل اطلاعات لازم برای ثبت نام کاربر ؟
چطور می تونیم تشخیص بدیم این اطلاعات از فرمی خارج از سایت ارسال نشده
omidabedi
شنبه 04 بهمن 1393, 23:58 عصر
واسه فرمت یک hidden field بزار همراه با یک توکن که توش ذخیره شده
همون توکن رو هم با سشن باز بفرست
باهم مقایسه کن اگه برابر بودن یعنی ار سایت خودت سابمیت شده
[younes]
جمعه 04 اردیبهشت 1394, 04:26 صبح
واسه فرمت یک hidden field بزار همراه با یک توکن که توش ذخیره شده
همون توکن رو هم با سشن باز بفرست
باهم مقایسه کن اگه برابر بودن یعنی ار سایت خودت سابمیت شده
خب اگه مرورگر بتونه فیلد مخفی رو تشخیص بده پس ربات/مهاجم هم حتما میتونه تشخیص بده و توکن رو بفرسته این طور نیست؟
شاید کپچا راه حل بهتری باشه
omidabedi
جمعه 04 اردیبهشت 1394, 20:25 عصر
;2203995']خب اگه مرورگر بتونه فیلد مخفی رو تشخیص بده پس ربات/مهاجم هم حتما میتونه تشخیص بده و توکن رو بفرسته این طور نیست؟
شاید کپچا راه حل بهتری باشه
خب ربات باید اول صفحه رو درخواست کنه و بعد فیلد رو بخونه و بفرسته مشکلی نداره که.
مثل کاربر داره عمل میکنه.
این باگ csrf هست که مثلا فرم های مثل اضاف کردن مدیر که توسط ادمین انجام میشه اگر اسیب پذیر باشه هکر از طریق مهندسی های اجتماعی و ... یک لینک میده به ادمین و اون لینک میاد همراه مرورگر ادمین عمل اضاف کردن یه مدیر رو به روش پست میفرسته به صفحه ی اضاف کردن
چی میشه اینجا؟اینجا الان ادمین میاد تو سایت خودش و چون لاگین کرده یه مدیر ادد میکنه بدون اینکه حواسش باشه
حالا اگر توکن جزء فرم باشه چی میشه؟
وقتی ادمین از سایت هکر داره همراه اطلاعات پست شده به سایت خودش بر میگرده هیچ توکنی شامل اطلاعات نمیشه پس اطلاعات ثبت نمیشن
کپچا رو همه جا که نمیزارن دیگه که user friendly رو بیاره پایین
حجم اطلاعات ارسالی هم زیاد بشه
کارا رو هم کند کنه
الان واسه یکی از پروژه ها حتی بجا کپچا یک فرم یک فیلد گذاشتم اما با سی اس اس هیدنش کردم
اگه ربات باشه اینو پر میکنه
اما کاربر نه
اونطرف اگر پر شده بود یعنی ربات هست
مگر کسی بیکار باشه براش اختصاصی بنویسه
شاید بگید خوب شاید کسی دستی بشینه ثبت نام کنه مثلا
خب نیاز به ایمیل داره
اینقدر بزنه تا خستش بشه
قبول دارم بخوبی کپچا نیست و قابل دور زدنه ولی خب واسه من که زمان نبود خوبه + یه سیستم بلاک ای پی واسه مواقع اضطراری که هم بر اساس تایمینگ کار میکنه هم تعداد request
هر 30 روزم ایمیل های confirm نشده از دیتابیس پاک میشن
یعنی میگم همه جا همینطوری از کپچا استفاده نکنید
vBulletin® v4.2.5, Copyright ©2000-1403, Jelsoft Enterprises Ltd.