Fórumelmélet
2007-11-27T18:45:43+01:00
2007-11-28T03:16:42+01:00
2022-07-26T05:27:29+02:00
  • és ezt?
    :paw:

    szerk.: na, gratula sting, de majd kerítek új anomáliát
    :paw:
    Mutasd a teljes hozzászólást!
  • nofene, ezt kijavították?
    :paw:
    Mutasd a teljes hozzászólást!
  • például.
    mivel ami a felhasználótól érkezik adat, az közvetlenül az ördögtől is jöhet, ezért érdemes erre is figyelmet forditani. a prog.hu nem mérvadó ilyen szempontból, de azért egész jó kis védelem kezd kialakulni benne, egyre kevesebb hibát találok, de törölt hozzászólást a mai napig ki tudok iratni vele, ahogy másnak(!) szóló privát levél cimét is. tehát érdemes minden beérkező adatot nem csak annak megfelelően ellenőrizni hogy támadás-e, hanem abból a szempontól is, hogy az adott helyen lehetséges-e
    :paw:
    Mutasd a teljes hozzászólást!
  • húú ne mondd...
    de ettől függetlenül ha én szétcincálom az injectionjait, az egész nem ért egy kalap sz.rt se.
    Gyakorlatilag se bízom meg semmiben...

    ---------
    sarki_roka : igen, erre én is gondoltam, csak feltételeztem, hogy a prog.hu ennyire nem meghamisítható (<form method="POST" action="/tarsalgo/?fid=74924&op=new&irt=2&pop=1">)

    valóban arra irányult a kérdés, hogy mit csináljak, ha nem akarom, hogy védett/lezárt témába írogasson az illető.
    Erre csak az működhet, hogy beírásnál megnézem, hogy elérhető-e az adott post?
    Mutasd a teljes hozzászólást!
  • gyakorlatban az is igaz, hogy kevés felhasználó fogja manipulálni a dolgokat. én ezen kis csoprtba tartozom, már csak a kiváncsiság miatt is. de ha levéde mindenféle injectionnal szemben, akkor nemtökmindegy hogy józsika vagy pistike postjára válaszol az illető? ha ebben leli örömét hogy jószikára kattint, és pistikének szóló számot ir be, hát legyen jó neki.
    megjegyzem a web developer toolbar is lehetőséget ad az átirásra, még csak programozni sem kell tudni hozzá
    :paw:
    Mutasd a teljes hozzászólást!
  • Nem tudom, hogy hallottál-e már róla, hogy adatokat nem csak JS-el lehet átírni egy form-ban. Ha valaki tisztában van a http protokollal (és még néhány kapcsolódó dologgal), akkor akármilyen adatot elküldhet egy form-ot lekezelő CGI-nek...

    Ha sarkítani akarnék, elméletileg semmilyen adatban nem bízhatsz meg, amit a kliens felől kapsz.
    Mutasd a teljes hozzászólást!
  • sziasztok!

    Épp egy fórummotoron dolgozom, ahol lehet válaszolni a korábbi hozzászólásokra (legyen az témanyitó, válasz, vagy sima hozzászólás).
    Elméletben úgy terveztem, hogy a formmal (vagy actionnal, vagy hiddenen keresztül) elküldöm, hogy mire válaszolt a juzer (ez egy szám, és egyértelműen utal az előzményre).

    A kérdésem az, hgoy mekkora az esélye annak, hogy valaki js-sel átírja, majd másik értéket küld el nekem, így én rossz helyre fogom beírni a választ, illetőleg, hogy hogy lehet - és megéri-e ez ellen védekezni?

    b
    Mutasd a teljes hozzászólást!
abcd