(X)HTML, JavaScript, DHTML, XML, CSS Client scripting tehnologije, Dynamic HTML, Cascading Stylesheets, XML i standardi |
|
Alati teme | Način prikaza |
28. 12. 2006. | #1 |
133t
Master
|
ajax & security
ovako, imam jednu skriptu gde postoji klasicno glasanje. znaci user odabere vote na skali od 1-10 klikne submit i to je to ...njegov glas ide u bazu..ajax automatski updatuje average score... vote button se disable-uje.. sve radi ok
medjutim zanima me zastita. tj u mom slucaju samo registrovani useri mogu da glasaju. Za sada sam to resio tako sto sa JS proveravam da li postoji cookie, a u php skripti proveravam referer (da li poziv dolazi sa stranice, ili neko spolja pokusava da pozove stranicu i fejkuje vote) kao vi resavate to u vasim aplikacijama? kako proveravate da li je user ulogovan pre nego sto mu dozvolite da uradi nesto sa JS/ajax ??? |
28. 12. 2006. | #2 |
Knowledge base
Wrote a book
Datum učlanjenja: 16.06.2005
Lokacija: Novi Sad
Poruke: 1.437
Hvala: 37
131 "Hvala" u 82 poruka
|
A sto ne stavis u tu php skriptu da proverava cookie?
__________________
Năo quero mais seguir um só caminho |
28. 12. 2006. | #3 |
Boris
Grand Master
Datum učlanjenja: 01.12.2005
Lokacija: Novi Sad
Poruke: 775
Hvala: 5
156 "Hvala" u 2 poruka
|
Provera referrera je vrlo prividna zastita, bolje se fokusiraj na ovo sto Moreno kaze. Proveravaj da li je korisnik ulogovan (kao sto to inace radis), i u slucaju da nije, printaj neki nefunkcionalan javascript kod, koji se, naravno, pod normalnim okolnostima nikad nece izvrsavati.
__________________
"It’s important to have goals when you pet. Otherwise you’re just rubbing another mammal for no reason." - Scott Adams |
28. 12. 2006. | #4 |
Dejan Katašić
Wrote a book
Datum učlanjenja: 10.06.2005
Lokacija: Novi Sad
Poruke: 1.017
Hvala: 129
86 "Hvala" u 43 poruka
|
Security je uvek stvar serverske strane.
|
28. 12. 2006. | #5 | |
Domagoj Horvat
Expert
|
Citat:
zasto nefunkcionalan javascript kod? ima li neki razlog za to? inace, nemam iskustva sa ajaxom; upravo se spremam slagati prvi sajt gdje cu ga upotrijebiti, ali mi se ne cini nista posebno sa stajalista sigurnosti. ono zlatno staro pravilo -> ne vjeruj klijentu, provjeri sve na serveru (ne na klijentu). i u skladu s tim daj rezultat.
__________________
postoje ludosti bez kojih je nemoguce ljudsko dostojanstvo |
|
29. 12. 2006. | #6 | |
133t
Master
|
Citat:
valjda ce biti dovoljno majku mu |
|
29. 12. 2006. | #7 |
Ivan Dilber
Sir Write-a-Lot
|
a sto ne proveravas kao sto proveravas inace usere (kad kazes da imas registrovane korisnike pretpostavljam da nekako proveravas da su registrovani, neki login pa onda pratis session ili tako nesto?). Znaci isto kao sto proveris da li je neko ulogovan kad mu prikazujes neku njegovu "users-only" stranu, potpuno isto tako to radis i iz ajaxa, nema apsolutno nikakve razlike u logici kojom radis proveru...
__________________
Leadership is the art of getting people to want to do what you know must be done. |
29. 12. 2006. | #8 | |
Boris
Grand Master
Datum učlanjenja: 01.12.2005
Lokacija: Novi Sad
Poruke: 775
Hvala: 5
156 "Hvala" u 2 poruka
|
Citat:
__________________
"It’s important to have goals when you pet. Otherwise you’re just rubbing another mammal for no reason." - Scott Adams |
|
29. 12. 2006. | #9 |
Psychedelictrance freak
Wrote a book
|
@kodi
Dobio si odgovore, dakle klasicno proveravanje usera i swichovanje koda. Dodatno sta treba da proverevas je da li ti je user prosledio validnu varijablu (u zavisnosti od implementacije skripte moze se desiti da ti posalje neku varijablu u zahtevu koja moze dovesti do XSS ili SQL injectiona). I na kraju nevezano toliko za pitanje ali opet moze da koristi: race condition.
__________________
Testiranje bezbednosti web aplikacija |
29. 12. 2006. | #10 | |
Domagoj Horvat
Expert
|
Citat:
PHP kôd:
__________________
postoje ludosti bez kojih je nemoguce ljudsko dostojanstvo |
|
Alati teme | |
Način prikaza | |
|
|
Slične teme | ||||
Tema | Početna poruka teme | Forum | Odgovori | Poslednja poruka |
DPT Security Day | Ivan | IT događaji | 30 | 09. 04. 2011. 13:11 |
PHP Security Info | Ivan | PHP | 0 | 10. 11. 2006. 17:18 |
Security audit | Ivan | Poslovne ponude i zapošljavanje | 41 | 13. 09. 2006. 11:15 |
Ajax Mistakes a.k.a kad ne treba da koristite Ajax | nixa | Planiranje i usability | 7 | 13. 02. 2006. 17:20 |