نمایش نتایج 1 تا 3 از 3

نام تاپیک: بالابردن امنیت یا hash کردن data-url

  1. #1
    کاربر دائمی آواتار hamzehsh
    تاریخ عضویت
    مرداد 1385
    محل زندگی
    اينترنت
    سن
    39
    پست
    134

    بالابردن امنیت یا hash کردن data-url

    سلام و ارادت خدمت همه بزرگان برنامه نویس



    چه روشهایی هست که میتونیم جلوی کاربر رو بگیریم تا نتونه id هایی که به button ها اختصاص دادیم رو تغییر بده.

    ما توی صفحه یک سری باتن داریم که هر کدوم یک کاری انجام میدهند
    و با data-url یا ajax یا روشهای دیگه داریم به یک کنترلر و یک اکشن متد و id که اون موضوع داره دسترسی پیدا میکنیم.
    حالا اگر کابر بیاد و id رو تغییر بده (مثلا با اینسپکت المنت) میتونه هر چیزی جاش بگذاره و کارش رو انجام بده. تغییرات بده روی id هایی که اصلا ربطی به موضوع ندارند
    یکی دو تا راهکار دیدم ولی هیچکدومشون در واقع بدرد بخور نیستند. مثلا کلید f12 و کلیک راست رو غیر فعال میکردند.


    گفتم بیام از تجربه شما استفاده کنم ببینم راهکار مناسبی سراغ دارید؟




  2. #2
    بنیان گذار Barnamenevis آواتار مهدی کرامتی
    تاریخ عضویت
    اسفند 1381
    محل زندگی
    کرج، گلشهر
    سن
    44
    پست
    6,341

    نقل قول: بالابردن امنیت یا hash کردن data-url

    حالا اگر کابر بیاد و id رو تغییر بده (مثلا با اینسپکت المنت) میتونه هر چیزی جاش بگذاره و کارش رو انجام بده. تغییرات بده روی id هایی که اصلا ربطی به موضوع ندارند
    موضوع اینه که به چه دلیل کاربر باید چنین کاری انجام بده و مثلا اگر آیدی دکمه btnSave رو تبدیل کنه به btnKolang چه اتفاقی میافته؟ نتیجه متفاوتی می گیره؟
    نه. فقط باعث میشه اون صفحه که برای خودش تو براوزر باز شده درست کار نکنه.

    اگر نگران Script Injection و XSS هستی، کلی کتابخانه در نوگت هست که بهت کمک می کنه جلوی این نوع تزریق ها رو بگیری، علاوه بر اون خود پردازشگر فرم ASP.NET تا حدود زیادی جلوی اینها رو می گیره.

  3. #3
    کاربر دائمی آواتار hamzehsh
    تاریخ عضویت
    مرداد 1385
    محل زندگی
    اينترنت
    سن
    39
    پست
    134

    نقل قول: بالابردن امنیت یا hash کردن data-url

    ممنون از توضحیاتتون استاد بزرگ
    با تغییر id باتن ها هیچ اتفاقی نخواهد افتاد ولی با تغییرر id که در کنار url داره ارسال میشه داستان عوض میشه
    منظور خود url/id هست
    این id اگر تغییر کنه اطلاعاتی که نمایش داده میشه تغییر میکنه و در واقع یک چیز دیگه توی فرم باز میشه
    مثال بزنم
    من یک جدول دارم هر ردیفش اطلاعات یک شهر رو برمیگردونه
    اولیش تهران هست
    Cities/21
    و به این صورت بهش دسترسی پیدا میکنم
    با ajax
    حالا 21 رو میکنم 31 و وقتی باتن کلیک میشه اصفهان رو نمایش میده
    اتفاق مهمی نیفتاده فقط کاربر شیطنت کرده
    شاید بی اهمیت باشه
    چون کاربر به اکشن متد و یک تعداد شناسه دسترسی داره و میتونه ویرایشون کنه (خارج از دسترسی هاش نمیتونه بره)
    ولی این مورد از نظر یکسری مجوزهای افتا پذیرفته نیست.

    دو روش رو پیاده کردم
    1- کل url رو تبدیل به یک hash کردم که خیلی کند شد با ajax هم به مشکل خوردم و در واقع خیلی جاها کاربرد نداشت

    2- یک url دیگه بهش اضافه کردم. درواقع توکن ساختم
    یکسری hash code بهش اضافه کردم که هم id رو بهش پاس میده و هم اون hashcode ها
    قابل حدس زدن نیست طول url زیاد شد و تا حدودی هم کندی برطرف شد
    سوال من برای راه حل جایگزین هست ساده تر باشه و کوتاه تر

تاپیک های مشابه

  1. آموزش: نمونه برنامه برای Hash کردن یک رشته به 5 روش
    نوشته شده توسط ehsanara در بخش C#‎‎
    پاسخ: 3
    آخرین پست: جمعه 08 خرداد 1394, 23:46 عصر
  2. تبدیل رشته به hash
    نوشته شده توسط sadaf_ در بخش T-SQL
    پاسخ: 1
    آخرین پست: یک شنبه 21 آبان 1391, 12:02 عصر
  3. امنیت ارسال ایمیل با استفاده از توابع ایجاد Hash
    نوشته شده توسط tefos666 در بخش C#‎‎
    پاسخ: 2
    آخرین پست: دوشنبه 08 اسفند 1390, 08:09 صبح
  4. سوال: hash کردن
    نوشته شده توسط shokoohhakemi در بخش ASP.NET Web Forms
    پاسخ: 2
    آخرین پست: چهارشنبه 07 دی 1390, 10:58 صبح
  5. اين برنامه چگونه hash شده
    نوشته شده توسط HadiVB در بخش امنیت در نرم افزار و برنامه نویسی
    پاسخ: 1
    آخرین پست: شنبه 22 خرداد 1389, 10:17 صبح

قوانین ایجاد تاپیک در تالار

  • شما نمی توانید تاپیک جدید ایجاد کنید
  • شما نمی توانید به تاپیک ها پاسخ دهید
  • شما نمی توانید ضمیمه ارسال کنید
  • شما نمی توانید پاسخ هایتان را ویرایش کنید
  •