Hüten Sie sich vor URL-Parameter übergeben, indem
(2 Stimmen, Durchschnitt: 5,00 von 5) 
Loading ... Alle guten Menschen?
Heute schreibe ich etwas ganz Einfaches, aber es macht viel Unterschied auf einer (web): Parameter in der URL übergeben.
Kürzlich erhielt ich den vollen Zugriff für sieben Tage an einem Ort des Unterrichts Englisch (ich bevorzuge ganz zu schweigen, was die Website). Mit vollen Zugriff können die Benutzer herunterladen 'Podcast' Klassen ..., die MP3-Dateien, die in alltäglichen Situationen (in Englisch) vorgestellt werden, sind aber alle sehr gut durch den Lehrer erklärt.
Aber die Downloads hat ein Limit: 14 Downloads pro Monat.
Ich tue einen Download, und zu meiner Überraschung, meine ID-Datenbank wird über die GET-URL übergeben. Dann dachte ich: Ich werde die Sicherheit der Site zu testen!
Ratet mal, was ist passiert?
Ja! Wenn Sie, dass die Validierung beantwortet zu sehen, ob Dateien bereits heruntergeladen 14 durch diesen Parameter hinausgegangen wird man es genagelt!
Also immer daran denken: niemals an Eckdaten für die URL.
HINWEIS: Das Ändern meine ID in der URL an, könnte ich ALLE DAT-Site herunterladen (mp3, pdf-Klasse ...). Nun, ich dachte, in der Regel, ist der erste Benutzer der Datenbank der Website Eigentümer oder Administrator-Benutzer.
Hope this helps!
4 Responses to "der Parameter per URL übergeben Beware"
Marcelo, guter Tipp, Ihnen diese Arbeit q basisch sein für jeden, der Webseiten entwickelt, nicht gut, Design und tolle Bedienbarkeit Anforderungen sind Minos Sicherheit werden nicht überprüft ... gibt es eine coole Sache, einen Prüfer für die Sicherheit sollte täte, würde man das schnelle Geld zu verdienen huh?
abs!
Für Vinicius (1 Kommentare) am 2009.03.05
Guter Tipp ideal und nicht über die GET-Methode Validierung zu gehen, und immer tun, wenn das Skript nimmt einen String entweder per Post oder bekommen ^ _ ^ VLW
Mit Alexandre Broggio (4 Kommentare) am 2009.11.05
Ich wurde gebeten, nicht auf die Benutzer-ID für die URL in das Beispiel, das ich von der Seite gab passieren.
In diesem Fall, da der Benutzer in der Seite erneut anmelden müssen, wahrscheinlich der Website müssen Benutzer Daten in der Session (weil es den Namen der Person angemeldet zeigt) ... mit der ID in der Session, können Sie sicher rechnen die Downloads.
Mit Marcelo Sabadini (109 Kommentare) in 2009.05.06
genau wie Sie sagen in Ihrem Kommentar, den ich denke, Marcelo Recht für die Entwickler dieser Website wäre es, die ID der Sitzung mit der SessionID per URL übergeben zu überprüfen.
trefflichsten post, da dies ein Fehler und bis zu Programmierern, die sich selbst "Experten" nennen.
dann wie ich immer sage, ist guter Lehrer, und mehr an dir zu widmen und erwerben Kenntnisse nichts zu niemand, weil niemand gekaut.
weil wir wirklich bis zum College-Studenten begehen diesen Fehler.
WLW den Posten zu zeigen.
Von Joshua (4 Kommentare) am 27/08/2011