Hoi,
Ik vraag me af hoe veilig een script is die input krijgt vanuit POST gegevens.
Ik bouw een web-app en 1 van de onderdelen die goed beveiligd moet zijn is het beoordelen.
Stel: een deelnemer die praktisch geen rechten heeft, weet alles wat hij moet weten:
De url voor het beoordelen en alle variabele die je nodig hebt. Normaliter kan een deelnemer hier niet achter komen, maar je weet het maar nooit (een andere gebruiker die zijn PC open laat staan)
Hij maakt een eigen formulier op zijn eigen webserver, en post het.
Nu zijn er een aantal dingen. Ten eerste gaat dit nog niet lukken, want hij is ingelogd met te weinig rechten om te mogen beoordelen, maar het baart me toch zorgen dat hij op die manier in het script kan komen. Een gebruiker met voldoende rechten kan zo wel dingen beoordelen die niet voor hem bedoeld zijn..
Hoe kan ik een form/referer van buitenaf blokkeren? Of nog beter: hoe kan ik enkel referers accepteren die ik wil? HTTP_REFERER staat niet op elke webserver aan namelijk.
Ten tweede: zijn SESSIONS te hacken? Daar in staat of, en hoe je ingelogd bent met welke rechten. Nu wordt er in die scripts opnieuw de inlog gecontroleerd, maar hij haalt dat toch echt uit de sessies.
Nu wordt alles gelogd, dus mocht het een keer iemand lukken, is dat te achterhalen. Maar ik ben benieuwd hoe mensen hier er over denken.
Ik vraag me af hoe veilig een script is die input krijgt vanuit POST gegevens.
Ik bouw een web-app en 1 van de onderdelen die goed beveiligd moet zijn is het beoordelen.
Stel: een deelnemer die praktisch geen rechten heeft, weet alles wat hij moet weten:
De url voor het beoordelen en alle variabele die je nodig hebt. Normaliter kan een deelnemer hier niet achter komen, maar je weet het maar nooit (een andere gebruiker die zijn PC open laat staan)
Hij maakt een eigen formulier op zijn eigen webserver, en post het.
Nu zijn er een aantal dingen. Ten eerste gaat dit nog niet lukken, want hij is ingelogd met te weinig rechten om te mogen beoordelen, maar het baart me toch zorgen dat hij op die manier in het script kan komen. Een gebruiker met voldoende rechten kan zo wel dingen beoordelen die niet voor hem bedoeld zijn..
Hoe kan ik een form/referer van buitenaf blokkeren? Of nog beter: hoe kan ik enkel referers accepteren die ik wil? HTTP_REFERER staat niet op elke webserver aan namelijk.
Ten tweede: zijn SESSIONS te hacken? Daar in staat of, en hoe je ingelogd bent met welke rechten. Nu wordt er in die scripts opnieuw de inlog gecontroleerd, maar hij haalt dat toch echt uit de sessies.
Nu wordt alles gelogd, dus mocht het een keer iemand lukken, is dat te achterhalen. Maar ik ben benieuwd hoe mensen hier er over denken.
[ Voor 3% gewijzigd door Guillome op 31-07-2010 16:14 ]
If then else matters! - I5 12600KF, Asus Tuf GT501, Asus Tuf OC 3080, Asus Tuf Gaming H670 Pro, 48GB, Corsair RM850X PSU, SN850 1TB, Arctic Liquid Freezer 280, ASUS RT-AX1800U router