Méfiez-vous des paramètres d'URL transmis par
(2 votes, moyenne: 5,00 sur 5) 
Chargement en cours ... Toutes les bonnes personnes?
Aujourd'hui, je dis une chose très simple mais il fait beaucoup de différence sur une (web): les paramètres passés par l'URL.
J'ai récemment reçu l'accès à sept jours complets pour un site d'enseignement en anglais (je ne parlerai pas ce que le site). Avec un accès complet, les utilisateurs peuvent télécharger les podcasts, les leçons qui sont des fichiers MP3 ... où les situations quotidiennes sont présentées (en anglais), mais tous très bien expliqué par l'enseignant.
Mais les téléchargements ont une limite: 14 téléchargements par mois.
Je fais un téléchargement, et à ma grande surprise, ma base de données d'identification est passée via l'URL GET. Puis j'ai pensé: je vais tester la sécurité du site!
Devinez ce qui s'est passé?
Oui! Si vous avez répondu que la validation pour voir s'ils ont téléchargé 14 fichiers se fait par ce paramètre, vous cloué!
Alors n'oubliez pas: ne jamais passer des paramètres clés pour l'URL.
REMARQUE: Changer mon ID dans une URL, je pourrais télécharger tous les fichiers de site Web (mp3, pdf ...). classe Pour la pensée, habituellement le premier utilisateur de la base est le propriétaire ou l'utilisateur de l'administrateur du site.
J'espère avoir aidé!
4 Responses to "Méfiez-vous des paramètres passés par URL"
Marcelo, grand bout, ce document q vous n'avez devrait être de base pour toute personne qui développe des sites Web, et non pas une bonne conception et des exigences grande facilité d'utilisation sont Minos de sécurité ne sont pas vérifiées ... il ya quelque chose de cool, un auditeur de sécurité extérieure, vous pourriez gagner une graninha hein?
abs!
Pour Vinicius (1 commentaires) sur 05/03/2009
Bon bout et ne pas la méthode idéale de passer par la validation obtenir et toujours quand le script prend une chaîne, soit par POST ou GET ^ _ ^ VLW
Par Alexandre Broggi (4 commentaires) sur 05/11/2009
On m'a demandé de ne pas transmettre l'ID utilisateur pour l'URL dans l'exemple que j'ai donné du site.
Dans ce cas, puisque l'utilisateur doit être connecté au site, probablement le site doit avoir les données utilisateur lors de la session (il montre le nom de la personne connecté) ... avec l'ID de session, vous pouvez sans compter les téléchargements.
Par Marcelo Sabadini (109 commentaires) sur 06/05/2009
exactement comme vous le dites dans votre commentaire, je pense Marcelo droite pour le développeur de ce site qui vérifierait l'identifiant de session avec l'ID transmis par url.
poste le plus excellent, comme cela est une erreur, même par de nombreux programmeurs qui disent qu'ils sont «expérimentés».
puis comme je dis toujours, un bon enseignant et de plus c'est à vous de consacrer et d'acquérir des connaissances n'est rien à personne parce que personne mâché.
car nous voyons encore les étudiants beaucoup plus commettre cette erreur.
WLW montrent sur le poste.
Par Joshua (4 commentaires) sur 27/08/2011