אשכול: שאלה על אבטחת קוקיז
View Single Post
ישן 08-07-09, 02:25   # 5
stel222
חבר מתקדם
 
מיני פרופיל
תאריך הצטרפות: Mar 2008
הודעות: 399

stel222 לא מחובר  

ציטוט:
נכתב במקור על ידי daMn צפה בהודעה
אם מישהו מצליח להשיג את הקוקי של משתמש כלשהו, הוא בקלות פורץ, הוא פשוט עורך את העוגיה.
הרעיון הוא שבאתר תחסום כל ניסיון פריצה במיוחד של XSS, שלא למשל יקפיץ alert עם תוכן העוגיה של המשתמש ויעביר את המידע לשרת של הפורץ.
ואם הוא עורך ?
הרי בכל עמוד יש אימות שהשם משתמש והסיסמה בעוגיה באמת שווים אם לא שווים אז מחזיר שקר ככה בכל דף.
הוא יכול לערוך כמה שבא לו ברגע שהוא ערך זה לא יעבוד לו כי הפרטים לא יהיו נכונים
  Reply With Quote