View Full Version : بررسی پر کردن فرم با استفاده از اطلاعات Referer
tux-world
شنبه 30 بهمن 1389, 09:56 صبح
دوست عزیزمونMMSHFE (http://barnamenevis.org/member.php?55504-MMSHFE) در رابطه با تاپیک salt نیم نگاهی به این موضوع اشاره کردن برای اینکه این موضوع از دستمون نره گفتم در این باره اطلاعاتی رو کسب کنیم
MMSHFE
شنبه 30 بهمن 1389, 10:47 صبح
با سلام، ضمن تشكر از اينكه اين بحث رو ايجاد كردين، بايد بگم كه فرض كنيد فرم اصلي سايت در آدرس http://www.yoursite.com/form.php ذخيره شده و خاصيت action فرم هم به صفحه http://www.yoursite.com/result.php اشاره ميكنه. حالا كافيه توي فايل result.php خودتون، اين كد رو بگذاريد:
<?PHP
$referer=$_SERVER['HTTP_REFERER'];
if($referer=='http://www.yoursite.com/form.php')
{
//process the form data
}
?>
اينطوري امنيت تا حدودي بالا ميره و فايل result.php شما اطلاعات ارسالي از ساير سايتها رو پردازش نميكنه.
موفق و مؤيد باشيد.
tux-world
یک شنبه 01 اسفند 1389, 10:01 صبح
پس در واقع اگه همچین اتفاقی افتاد و فهمیدیم که کاربر از جای دیگه داره فرم رو پر میکنه آی پی آدرس و بقیه چیز میزهاشو به همراه دسترسی ببندیم دیگه درسته ؟
MMSHFE
یک شنبه 01 اسفند 1389, 10:07 صبح
با سلام، ميتونيد ببنديد يا اينكه صرفاً قبول نكنيد. بستگي به طراحي شما داره. البته بايد دقت كنيد كه IP سايت مربوطه رو ببنديد نه IP فرد رو چون مسدودكردن IP فرد به جز در مواقعي كه Valid IP يا Static IP داشته باشه به درد ميخوره و با مسدودكردن Dynamic IP فقط حجم DB خودتون رو بالا ميبرين چون دفعه بعد كه به اينترنت وصل بشه، IP اون فرد فرق ميكنه. براي بدست آوردن IP سايت هم ميتونيد از سرويسهاي whois سايتهاي مختلف يا ping كردن اون سايت استفاده كنيد. موفق و مؤيد باشيد.
sattaryekta
یک شنبه 01 اسفند 1389, 10:32 صبح
راه ساده و در عین حال بسیار موثریست! :چشمک:
tux-world
یک شنبه 01 اسفند 1389, 10:37 صبح
حالا این آدرس سایت منظورتون چیه ؟ که ببندیم ؟
sattaryekta
یک شنبه 01 اسفند 1389, 11:19 صبح
منظورشون آدرس سایتی که فرم جعلی اونجا قرار داره هست
tux-world
یک شنبه 01 اسفند 1389, 12:18 عصر
بلی. و میشه از طریق آی اس پی که وصل شده هم بستش ؟
vBulletin® v4.2.5, Copyright ©2000-1403, Jelsoft Enterprises Ltd.