Simulacija POST metode - Strana 3

ivanhoe · 09. 08. 2006.

ma referrer header salje browser, imas extenziju za npr firefox kojom mozes da setujes sta god zelis u headeru, ukljucujuci i referrer... a postoje i skripte koje namestis kao proxy i onda one rade search & replace headera po zelji (obicno se koristi zarad privatnosti, ali moze i da se zloupotrebi).

Osnovno pravilo sigurnosti na netu je da nikad ne verujes podacima koji ti dolaze od korisnika... uvek treba imati i mehanizam da se ti podaci nekako provere...

misk0 · 09. 08. 2006.

Naravno, nisam ni htio objasnjavati to rjesenje gdje samo saljes username i refer

Mislim, ovaj URL sa GET parametrima se fakticki ne vidi (vjerovatno se moze nekako i usnifati, na lokalnom compu, ali taj user ga je i unio tako da nema potrebe da snifa to sto je poslao), ali i POST se moze usnifati, mislim, nema tu neke razlike, ni jedan ni drugi nisu kriptovani.

dee · 09. 08. 2006.

ma je, al moze ga vidjet npr onaj u kafeu pored njega... ili nakon njega...ili kolega s posla u drugoj smjeni... i opet ista stvar...

zato ono sa 1X1 img...

misk0 · 09. 08. 2006.

Citat:

Originalno napisao dee

ma je, al moze ga vidjet npr onaj u kafeu pored njega... ili nakon njega...ili kolega s posla u drugoj smjeni... i opet ista stvar...

Ne moze, ta medjustranica na koju ode i ne vidi se buduci da server ne stigne da posalje nista osim headera tako da i nemas tu stranicu (ili cak nekoliko njih) u history.
Ako zelis, mogu ti poslati link da se uvjeris

dee · 09. 08. 2006.

ma nije stvar da se uvjerim, vjerujem ti ja

nego me zanima, jbg...

aj daj bas da vidim

misk0 · 10. 08. 2006.

Evo, pogledaj

Kôd:

http://ibm.palija.net/logforum.html

Vidjeces gdje ces zavristi, a ako pogledas action tag i link koji se nalazi u njemu, vidjeces da si ulogovan.
Isto tako, ako si vec ulogovan pa se pokusas logovati zavrsices na trecem sajtu

A onda pogledaj nakon svega, sta imas u history

dinke · 10. 08. 2006.

Samo da pomenem da si sa curl-om mogao sve relativno lako zavrsiti (slanje post requesta, snimanje cookia i sl.). Ja imam jednu curl klasu koju koristim vec neko vreme za slicne stvari, postavicu je za koji dan (kad je malo jos nabudzim) na phpclasses, pa ces moci da vidis i probas.

Inace, ako phpbb koristi js redirekciju, onda ti nema spasa nego da nakon login-a rucno parsujes stranu koju vrati i odradis redirekciju.

09. 08. 2006.	#21
ivanhoe Ivan Dilber Sir Write-a-Lot Datum učlanjenja: 18.10.2005 Lokacija: Bgd Poruke: 5.320 Hvala: 104 2.344 "Hvala" u 583 poruka	ma referrer header salje browser, imas extenziju za npr firefox kojom mozes da setujes sta god zelis u headeru, ukljucujuci i referrer... a postoje i skripte koje namestis kao proxy i onda one rade search & replace headera po zelji (obicno se koristi zarad privatnosti, ali moze i da se zloupotrebi). Osnovno pravilo sigurnosti na netu je da nikad ne verujes podacima koji ti dolaze od korisnika... uvek treba imati i mehanizam da se ti podaci nekako provere... __________________ Leadership is the art of getting people to want to do what you know must be done.

09. 08. 2006.	#23
dee Domagoj Horvat Expert Datum učlanjenja: 24.07.2006 Lokacija: Zagreb Poruke: 502 Hvala: 22 10 "Hvala" u 8 poruka	ma je, al moze ga vidjet npr onaj u kafeu pored njega... ili nakon njega...ili kolega s posla u drugoj smjeni... i opet ista stvar... zato ono sa 1X1 img... __________________ postoje ludosti bez kojih je nemoguce ljudsko dostojanstvo

09. 08. 2006.	#25
dee Domagoj Horvat Expert Datum učlanjenja: 24.07.2006 Lokacija: Zagreb Poruke: 502 Hvala: 22 10 "Hvala" u 8 poruka	ma nije stvar da se uvjerim, vjerujem ti ja nego me zanima, jbg... aj daj bas da vidim __________________ postoje ludosti bez kojih je nemoguce ljudsko dostojanstvo

10. 08. 2006.	#26
misk0 majstor Wrote a book Datum učlanjenja: 30.01.2006 Lokacija: Lugano - Switzerland Poruke: 1.251 Hvala: 219 106 "Hvala" u 67 poruka	Evo, pogledaj Kôd: http://ibm.palija.net/logforum.html Vidjeces gdje ces zavristi, a ako pogledas action tag i link koji se nalazi u njemu, vidjeces da si ulogovan. Isto tako, ako si vec ulogovan pa se pokusas logovati zavrsices na trecem sajtu A onda pogledaj nakon svega, sta imas u history

10. 08. 2006.	#27
dinke Super Moderator Invented the damn thing Datum učlanjenja: 06.06.2005 Poruke: 2.371 Hvala: 370 701 "Hvala" u 194 poruka	Samo da pomenem da si sa curl-om mogao sve relativno lako zavrsiti (slanje post requesta, snimanje cookia i sl.). Ja imam jednu curl klasu koju koristim vec neko vreme za slicne stvari, postavicu je za koji dan (kad je malo jos nabudzim) na phpclasses, pa ces moci da vidis i probas. Inace, ako phpbb koristi js redirekciju, onda ti nema spasa nego da nakon login-a rucno parsujes stranu koju vrati i odradis redirekciju. __________________ Caught in a Web\|Blogodak With great power comes great responsibility!

Slične teme
Tema	Početna poruka teme	Forum	Odgovori	Poslednja poruka
amiga workbench "simulacija" u javascriptu	ivanhoe	Opušteno	2	02. 03. 2007. 10:29
Pay Per Post servis	zokiii	Marketing i SEO	24	13. 01. 2007. 03:38
prenosenje pomocu get metode	oliver78	PHP	16	30. 11. 2005. 21:09