 CSRF, bezpieczenstwo |
| CSRF, bezpieczenstwo |
Post
#1
|
|
|
Grupa: Zarejestrowani Postów: 25 Pomógł: 1 Dołączył: 8.03.2007 Ostrzeżenie: (0%) 
 |
Jak wiemy tagi bbcode etc. np [img] stwarzaja nie male zagrozenie. Jako img moge podstawic plik php i robic co mi sie zywnie podoba (podkrasc cookies, sessje etc.). Chcialbym sie Was polecic jak zapobiec tego typu zagrozeniom? Uzytkownicy maja avatary, wyswietlane na forach, swoich profilach itd. potencjalnie kazdy moglby byc niebezpieczny. Jak wiec zapobiec, czy zablokowac tego typu zagrozenie? Z pewnoscia sprawdzanie czy dany plik graficzny pochodzi z tych bardziej znanych, zaufanych serwisow (np. imagshack itd.) jest jakims rozwiazaniem, ale niewatpliwie uciazliwe dla uzytkownikow, ktorzy nie rzadko wola hostowac pliki u siebie.
Z gory dziekuje za pomoc. |
 |
 
|
 |
|
Post
#2
|
|
|
Grupa: Zarejestrowani Postów: 243 Pomógł: 32 Dołączył: 14.06.2007 Ostrzeżenie: (0%)
|
Wg mnie przed CSRF nie da się zabezpieczyć inaczej niż przez wyłączenie możliwości linkowania obrazków - przecież można podać link do pliku jpg na innym serwerze, ale próba jego pobrania zaowocuje redirectem na właściwy adres. Jeżeli już koniecznie to chcesz mieć, to pozwalaj na linkowanie tylko obrazków z zaufanych serwerów (np. imageshack), ew. przechowuj obrazki u siebie na serwerze. To ostatnie też nie jest jednak za dobre, bo otwiera drogę do przemycenia kodu php na serwer.
|
|
|
|
aren CSRF 6.08.2008, 16:36:55 
normanos ja mam sprawdzanie czy to jest obrazek z timeoutem... 6.08.2008, 16:58:57 aren No wiec wlasnie, wiec jak narazie chyba pozostaje ... 6.08.2008, 17:24:05 kubal nie wiem dokładnie o co wam chodzi (to przez przem... 6.08.2008, 19:28:51 normanos o ile jpg jest jpgiem 6.08.2008, 19:43:12 normanos @SirZooro: to żadne wyjście z sytuacji, równie dob... 6.08.2008, 20:30:53 radex_p Wikipedia tyle tylko mówi na ten temat:
Istnieje ... 6.08.2008, 20:37:19 normanos @radex_p: ale to akurat nie na temat 6.08.2008, 20:40:09 
Kicok Cytat(normanos @ 6.08.2008, 21:40:09 ... 6.08.2008, 20:52:31 bełdzio najlepiej uploadować pliki na swoj serwer 6.08.2008, 22:07:16 SirZooro @bełdzio: teoretycznie tak, ale można sobie niechc... 6.08.2008, 23:03:21 bełdzio ale można się przed tym zabezpieczyc najblizsza n... 7.08.2008, 08:20:47 aren Widzę Panowie, że sporo odpowiedzi. Tak jak niektó... 7.08.2008, 08:23:02 SirZooro @bełdzio: zatem czekam - ciekaw jestem co napiszes... 7.08.2008, 09:19:28 rzymek01 tak jak pisze bełdzio, wysyłanie plików na swój se... 7.08.2008, 10:26:57 Sh4dow Takie działania można skutecznie utrudniać. Ale ch... 7.08.2008, 10:42:17 zimi Cytat@bełdzio: zatem czekam - ciekaw jestem c... 7.08.2008, 15:19:34 SirZooro @zimi: no to źle Ci się wydaje - kiedyś udało mi ... 7.08.2008, 16:14:23 zimi nie rozumiem jaką to niesie ze sobą ideę...
ja na ... 7.08.2008, 17:34:49 SirZooro Żeby to wykorzystać trzeba:
1. Wysłać taki sprepar... 7.08.2008, 17:57:36 zimi o ho ho ho...
i co jeszcze byś chciał hasło bazy ... 7.08.2008, 18:10:57 SirZooro Zawsze można poszukać
Mi chodziło tutaj o pokaza... 7.08.2008, 18:21:45 .radex Mogę się mylić, bo nie jestem specem od zabezpiecz... 7.08.2008, 21:31:52 WebCM Szukam uniwersalnego sposobu ochrony przed CSRF. J... 18.11.2008, 14:30:46  |
|
Aktualny czas: 15.10.2025 - 20:09 |
