PDA

View Full Version : سوال: آیا کوئری استرینگهای بی استفاده می تونن امنیت سایت رو بیارن پایین؟



idocsidocs
چهارشنبه 09 آذر 1390, 11:34 صبح
فرض کنید که توی آدرس سایتتون از کوئری استرینگ استفاده می کنید و مقادیر رو به آرایه گت می فرستید.

اگر هکر توی لینک 5 تا از ایندکسهای آرایه رو پر کرده باشه و توی اسکریپت فقط به یکی از این ایندکسها نیاز داشته باشیم و با بقیه کاری نداشته باشیم، آیا بقیه مقادیر که بی استفاده هستن می تونن باعث خرابکاری بشن؟

jaykob
چهارشنبه 09 آذر 1390, 14:19 عصر
فرض کنید که توی آدرس سایتتون از کوئری استرینگ استفاده می کنید و مقادیر رو به آرایه گت می فرستید.

اگر هکر توی لینک 5 تا از ایندکسهای آرایه رو پر کرده باشه و توی اسکریپت فقط به یکی از این ایندکسها نیاز داشته باشیم و با بقیه کاری نداشته باشیم، آیا بقیه مقادیر که بی استفاده هستن می تونن باعث خرابکاری بشن؟


سلام دوست عزیز

این مسئله بر می گرده به کنترل مقادیر کوئری استرینگ . اولین راه حل مناسب استفاده از url rewriting هست که ضریب حمله رو می آره پایین و آدرس های بهتری هم ساخته می شه دوم اینکه مقادیر دریافتی باید کامل کنترل شوند به طور مثال فقط اعداد باشه و ... یک مرتبه توسط سعی و خطا همون کد و اگر هم از معماری سه لایه استفاده می کنید داخل bussines logic این مقادیر باید چک شوند ...

موفق باشید

idocsidocs
چهارشنبه 09 آذر 1390, 14:40 عصر
این مسئله بر می گرده به کنترل مقادیر کوئری استرینگ . اولین راه حل مناسب استفاده از url rewriting هست که ضریب حمله رو می آره پایین و آدرس های بهتری هم ساخته می شه دوم اینکه مقادیر دریافتی باید کامل کنترل شوند به طور مثال فقط اعداد باشه و ... یک مرتبه توسط سعی و خطا همون کد و اگر هم از معماری سه لایه استفاده می کنید داخل bussines logic این مقادیر باید چک شوند ...
دیگه بدون url rewriting نمی شه وب سایت طراحی کرد و url rewriting امنیت رو تا حدی برقرار می کنه :چشمک:

فرض کنید توی یه اسکریپت انتظار داریم که از کوئری استرینگ دوتا مقدار بگیریم و هکر بیاد چندتا مقدار قرار بده و ندونیم که هکر چندتا مقدار گذاشته توی کوئری استرینگ، در این صورت بهرتین راه بنظرتون چیه؟