Bekijk bericht in topic: [Forumgame] Vind de kwetsbaarheid!

Geplaatst op woensdag 21 mei 2008 11:20

Door: -FoX-

Carpe Diem!

Berichten: 1.730
Reg. datum: 20 januari 2002

quote:
ChessSpider schreef op woensdag 21 mei 2008 @ 11:16:
[...]
Je snapt dat dit net zo goed geld als voor POST he? Je moet GET hetzelfde beschouwen als POST wat het je applicatie betreft. Cookie gegevens beveilig je toch ook goed?

Inderdaad, op zich maakt het niet veel verschil al zal een simpele eindgebruiker eerder geneigd zijn om op die manier dingen aan je request te wijzigen dan een POST te spoofen. Uiteraard moet er nog altijd geverifieerd worden of deze user input toegelaten is op de server.

Wat ik dan soms ook nog wel eens tegen durf komen is dat ontwikkelaars dergelijke ID's gaan encoderen tot iets onleesbaars.. maar uiteindelijk blijf je dan nog altijd met hetzelfde probleem zitten.

P4 - 2400MHz, MSI 845e max, 512DDR PC2100 CL2, 160GB Maxtor 7200rpm, Geforce4 ti4200 128mb DDR

Bekijk bericht

Bericht:: [quote][b][message=30104496,noline]ChessSpider schreef op woensdag 21 mei 2008 @ 11:16[/message]:[/b] [...] Je snapt dat dit net zo goed geld als voor POST he? Je moet GET hetzelfde beschouwen als POST wat het je applicatie betreft. Cookie gegevens beveilig je toch ook goed? [/quote] Inderdaad, op zich maakt het niet veel verschil al zal een simpele eindgebruiker eerder geneigd zijn om op die manier dingen aan je request te wijzigen dan een POST te spoofen. Uiteraard moet er nog altijd geverifieerd worden of deze user input toegelaten is op de server. Wat ik dan soms ook nog wel eens tegen durf komen is dat ontwikkelaars dergelijke ID's gaan encoderen tot iets onleesbaars.. maar uiteindelijk blijf je dan nog altijd met hetzelfde probleem zitten.
Quote bericht:: [quote][b][message=30104532,noline]-FoX- schreef op woensdag 21 mei 2008 @ 11:20[/message]:[/b] [...] Inderdaad, op zich maakt het niet veel verschil al zal een simpele eindgebruiker eerder geneigd zijn om op die manier dingen aan je request te wijzigen dan een POST te spoofen. Uiteraard moet er nog altijd geverifieerd worden of deze user input toegelaten is op de server. Wat ik dan soms ook nog wel eens tegen durf komen is dat ontwikkelaars dergelijke ID's gaan encoderen tot iets onleesbaars.. maar uiteindelijk blijf je dan nog altijd met hetzelfde probleem zitten. [/quote]

Frontpage

Archieven

Pricewatch

Forum

Community

Jobs

My Tnet

Bekijk bericht in topic: [Forumgame] Vind de kwetsbaarheid!

13:33 Nieuws

13-11 Uit de rubrieken

13:41 Productreview

14:09 Vraag & Aanbod

05:53 Jobs

14:09 Etc.

14:16 Reacties

14:17 Forum

19-11 Far Cry 2 special

22-11 Tweakblogs

21-11 Computable headlines

22-11 Emerce headlines