PDA

View Full Version : چک کردن HTTP Referrer


olampiad
سه شنبه 06 مرداد 1394, 18:57 عصر
سلام و خسته نباشید
تو ی مقاله ای میخوندم که برای جلو گیری از حملات xxs باید HTTP Referrer رو چم کنیم.
در این مورد هم خیلی سرچ کردم ولی چیزی دستمو نگرفت.
حالا خواستم ببینم در این مورد اطلاعاتی دارید
مرسی
phpdev
سه شنبه 06 مرداد 1394, 19:10 عصر
زیاد ربطی به XSS نداره بلکه بیشتر مربوط به امنیت سشن هست که حتما توی صفحه قبل و مربوط به همون سایت ست شده باشه. البته زیاد قابل اعتماد نیست ولی خوب تا حدی کمک میکنه به امنیت بیشتر . اگر داری یک فرم لاگین هم میزنی اطلاع بده تا یکسری فاکتورهای دیگه رو برات بفرستم بدرد من که خیلی خورد شاید بدرد شما هم بخوره
phpdev
سه شنبه 06 مرداد 1394, 19:14 عصر
برای Xss هم این خوبه


htmlspecialchars($input, ENT_QUOTES, 'utf-8');
البته هرجا خواستی مقداری رو چاپکنی یا توی دیتابیس وارد کنی
olampiad
سه شنبه 06 مرداد 1394, 20:17 عصر
تشکر فراوان دارم از دوست عزیز
phpdev (http://barnamenevis.org/member.php?250459-phpdev) که تابع امنیتی معرفی میکنه.
خواستم ببینم تابع بالا رو در هنگام وارد کردن اطلاعات در دیتابیس وارد کنم کافیه یا باید حتما در نمایش اطلاعات هم وارد کنم.
مرسی
olampiad
سه شنبه 06 مرداد 1394, 20:21 عصر
زیاد ربطی به XSS نداره بلکه بیشتر مربوط به امنیت سشن هست که حتما توی صفحه قبل و مربوط به همون سایت ست شده باشه. البته زیاد قابل اعتماد نیست ولی خوب تا حدی کمک میکنه به امنیت بیشتر . اگر داری یک فرم لاگین هم میزنی اطلاع بده تا یکسری فاکتورهای دیگه رو برات بفرستم بدرد من که خیلی خورد شاید بدرد شما هم بخوره

سلام
دارم فرم لاگین میزنم.
میشه راهنمایی ها رو بگیدو
مرسی
us1234
سه شنبه 06 مرداد 1394, 21:40 عصر
سلام
دارم فرم لاگین میزنم.
میشه راهنمایی ها رو بگیدو
مرسی

فقط کپتچا ...

Csrf یا هر چیز مشابه قابل دور زدن است .
olampiad
سه شنبه 06 مرداد 1394, 23:49 عصر
سلام
تشکر فراوان بابت راهنمایی ها

من به جای کیتچا از این روش استفاده میکنم.
www.stonetown.ir
در این سایت می بینید من نوشتم جواب معادله رو در کادر مقابل بنویسید.
بنظرتان این از لحاظ امنیتی مناسب هستش.
مرسی
us1234
چهارشنبه 07 مرداد 1394, 09:07 صبح
سلام
تشکر فراوان بابت راهنمایی ها

من به جای کیتچا از این روش استفاده میکنم.
www.stonetown.ir (http://www.stonetown.ir)
در این سایت می بینید من نوشتم جواب معادله رو در کادر مقابل بنویسید.
بنظرتان این از لحاظ امنیتی مناسب هستش.
مرسی




لینک باز نمیشه ...

ولی حدس میزنم معادله ها مثل جمع 2 تا عدد باشه .

این روش ها شاید کار را سخت کنه ولی بازم قابل دور زدن است ، بستگی داره سایت شما برای هکر چقدر ارزش داشته باشه .

لازم به ذکر است که کپتچا های خیلی سخت هم توسط سرویس های Captcha solver قابل حل هستند ولی هزینه دارد ...
kb0y667
چهارشنبه 25 شهریور 1394, 16:32 عصر
هر حمله ای ، یه روش دفاع خودش رو داره ؛ راه دفاع دربرابر xss چیز دیگه س



بیان این نکته لازمه : Referrer اصلا قابل اعتماد نیست

میشه جعل ش کرد

----------------------------------------------------------------------------

تنها راه حفاظت از لاگین
دربرابر sqlinjection و xss و brutForce وغیره...

"فقط کپتچا" نیست !!