[PHP] כיצד ניתן לבדוק מהיכן טופס נישלח? - עמוד 3 - הוסטס

בניה · 14-11-06, 15:03

ב"ה

אפשר לזייף כל חלק שנשלח בHTTP.
אם האדם שמנסה לזייף מתוחכם הוא יצליח כי זה באמת לא קשה.
אם אתה מפחד שהוא ישלח תווים מסוכנים פשוט תעשה הגנות בצד שרת.

tnadav · 14-11-06, 16:43

ציטוט:

נכתב במקור על ידי בניה

ב"ה

אפשר לזייף כל חלק שנשלח בHTTP.
אם האדם שמנסה לזייף מתוחכם הוא יצליח כי זה באמת לא קשה.
אם אתה מפחד שהוא ישלח תווים מסוכנים פשוט תעשה הגנות בצד שרת.

הגנות כמו מה? כל הדיון זה איך להגן..

רפרר קל לזייף
סאשן דווקא לא ממש, ואם אתה פרנואיד אפשר להגביל את הסאשן ל- IP

בניה · 14-11-06, 18:06

ציטוט:

נכתב במקור על ידי tnadav

הגנות כמו מה? כל הדיון זה איך להגן..

רפרר קל לזייף
סאשן דווקא לא ממש, ואם אתה פרנואיד אפשר להגביל את הסאשן ל- IP

הגנות נגד תווים מסוכנים, זה מה שאמרתי.
פשוט או שמבריחים אותם או מחליפים בערך ascii שלהם וזהו.
שישלח את הטופס מאיפה שהוא רוצה, הוא לא יוכל להזיק איתו.

tnadav · 14-11-06, 18:57

ציטוט:

נכתב במקור על ידי בניה

הגנות נגד תווים מסוכנים, זה מה שאמרתי.
פשוט או שמבריחים אותם או מחליפים בערך ascii שלהם וזהו.
שישלח את הטופס מאיפה שהוא רוצה, הוא לא יוכל להזיק איתו.

אתה עד כדי כך סומך על הפורץ שהוא פראייר?

RS324 · 14-11-06, 19:01

הפורץ לא יכול לשנות את מה שמוגדר בצד שרת...ככה שמהבחינה הזאת הוא דיי חסום (זה לא אומר שאין דרכים אחרות)

ולגבי כל מי שאמר IP....אפשר להשתמש ב PROXY וגם ה 400 כאלה

אז כל מה שתגידו לו פה...תמיד יהיה תשובה נגדית, השאלה היא
כמה זה חשוב לו מהבחינה הזאת (האבטחה המטורפת)

-VladK- · 14-11-06, 19:33

ציטוט:

נכתב במקור על ידי RS324

הפורץ לא יכול לשנות את מה שמוגדר בצד שרת...ככה שמהבחינה הזאת הוא דיי חסום (זה לא אומר שאין דרכים אחרות)

ולגבי כל מי שאמר IP....אפשר להשתמש ב PROXY וגם ה 400 כאלה

אז כל מה שתגידו לו פה...תמיד יהיה תשובה נגדית, השאלה היא
כמה זה חשוב לו מהבחינה הזאת (האבטחה המטורפת)

זה חשוב מבחינה שאני לא רוצה שיעשו מה שבא לאנשים למסד שלי...אנשים משועממים יכולים להתחיל לפוצץ לי את המסד...וממש לא בא לי שזה יקרה...קרה לי מקרה כזה...אין לי מושג איך אבל הצליחו לרשום לי 4000 (קצת יותר) רשומות

tnadav · 14-11-06, 19:33

ציטוט:

נכתב במקור על ידי RS324

הפורץ לא יכול לשנות את מה שמוגדר בצד שרת...ככה שמהבחינה הזאת הוא דיי חסום (זה לא אומר שאין דרכים אחרות)

ולגבי כל מי שאמר IP....אפשר להשתמש ב PROXY וגם ה 400 כאלה

אז כל מה שתגידו לו פה...תמיד יהיה תשובה נגדית, השאלה היא
כמה זה חשוב לו מהבחינה הזאת (האבטחה המטורפת)

פרוקסי לא יעזור.

כאשר שולח הטופס שולח טופס מהמקום שאנחנו רוצים הוא יהיה בוא, הוא מקבל סשן בשם מסוים עם ה- IP שלו, ככה שמי שיגנוב סשן אחר, יגנוב סשן עם IP אחר, אז דבר ראשון הוא צריך לדעת מה יש ב-סשן, וזה בעיה כי זה בצד שרת, ואז, הוא צריך לסייף את ה- IP שלו ל- IP שהוא גנב..

איך אתה עושה את זה?

RS324 · 14-11-06, 19:40

ציטוט:

נכתב במקור על ידי tnadav

פרוקסי לא יעזור.

כאשר שולח הטופס שולח טופס מהמקום שאנחנו רוצים הוא יהיה בוא, הוא מקבל סשן בשם מסוים עם ה- IP שלו, ככה שמי שיגנוב סשן אחר, יגנוב סשן עם IP אחר, אז דבר ראשון הוא צריך לדעת מה יש ב-סשן, וזה בעיה כי זה בצד שרת, ואז, הוא צריך לסייף את ה- IP שלו ל- IP שהוא גנב..

איך אתה עושה את זה?

אם אני כזה פורץ מהולל ויש לי את האיפי שצריך אז אני פורץ למחשב של הבן אדם עם האיפי ומפעיל דרכו דברים...

אבל אם כבר אני כזה פורץ מהולל אז למה שבמקום לריב עם אתר מסכן..אני פשוט יפרוץ לשרת ויקבל גישה למסד ולקבצים שלו ויעשה מה שאני רוצה איתם

אז בואו נדבר תכלס...
נגד ילדים.. הוא צריך לשים הגנות סבבה...לא להשתגע...
לעשות הגבלה של איפים ליום או דברים כאלה ואחרים כמו תמונה וכד'.

-VladK- · 14-11-06, 19:44

ציטוט:

נכתב במקור על ידי RS324

אם אני כזה פורץ מהולל ויש לי את האיפי שצריך אז אני פורץ למחשב של הבן אדם עם האיפי ומפעיל דרכו דברים...

אבל אם כבר אני כזה פורץ מהולל אז למה שבמקום לריב עם אתר מסכן..אני פשוט יפרוץ לשרת ויקבל גישה למסד ולקבצים שלו ויעשה מה שאני רוצה איתם

אז בואו נדבר תכלס...
נגד ילדים.. הוא צריך לשים הגנות סבבה...לא להשתגע...
לעשות הגבלה של איפים ליום או דברים כאלה ואחרים כמו תמונה וכד'.

אוקיי יש לי רעיון קטן ... הגבלה של הIP כמו שאמרתה...ו...אהההם...עם הרפרר...קיצור...תודה רבה רבה ! (אבל עדין מעניין אותי איך הוא עשה את זה

)

tnadav · 14-11-06, 20:53

ציטוט:

נכתב במקור על ידי Pilmen

אוקיי יש לי רעיון קטן ... הגבלה של הIP כמו שאמרתה...ו...אהההם...עם הרפרר...קיצור...תודה רבה רבה ! (אבל עדין מעניין אותי איך הוא עשה את זה

)

אני ממליץ לא להשתמש ברפרר, אבל כרצונך.

14-11-06, 15:03	# 21
בניה משתמש - היכל התהילה מיני פרופיל תאריך הצטרפות: Oct 2005 מיקום: נחושה הודעות: 3,434	ב"ה אפשר לזייף כל חלק שנשלח בHTTP. אם האדם שמנסה לזייף מתוחכם הוא יצליח כי זה באמת לא קשה. אם אתה מפחד שהוא ישלח תווים מסוכנים פשוט תעשה הגנות בצד שרת. __________________ קו ישר, כי אפשר גם אחרת


	ההרשמה לפורום נפתחה - אפשרות רישום לכל אימייל (דומיינים פרטיים, gmail, הוטמייל..)!

14-11-06, 19:01	# 25
RS324 תודה על תרומתך. מיני פרופיל תאריך הצטרפות: May 2006 הודעות: 3,173	הפורץ לא יכול לשנות את מה שמוגדר בצד שרת...ככה שמהבחינה הזאת הוא דיי חסום (זה לא אומר שאין דרכים אחרות) ולגבי כל מי שאמר IP....אפשר להשתמש ב PROXY וגם ה 400 כאלה אז כל מה שתגידו לו פה...תמיד יהיה תשובה נגדית, השאלה היא כמה זה חשוב לו מהבחינה הזאת (האבטחה המטורפת)

חברים פעילים הצופים באשכול זה: 1 (0 חברים ו- 1 אורחים)