CSRF - Forum PHP.pl

CSRF, bezpieczenstwo

aren Zobacz profil	6.08.2008, 16:36:55 Post #1
Grupa: Zarejestrowani Postów: 25 Pomógł: 1 Dołączył: 8.03.2007 Ostrzeżenie: (0%)	Jak wiemy tagi bbcode etc. np [img] stwarzaja nie male zagrozenie. Jako img moge podstawic plik php i robic co mi sie zywnie podoba (podkrasc cookies, sessje etc.). Chcialbym sie Was polecic jak zapobiec tego typu zagrozeniom? Uzytkownicy maja avatary, wyswietlane na forach, swoich profilach itd. potencjalnie kazdy moglby byc niebezpieczny. Jak wiec zapobiec, czy zablokowac tego typu zagrozenie? Z pewnoscia sprawdzanie czy dany plik graficzny pochodzi z tych bardziej znanych, zaufanych serwisow (np. imagshack itd.) jest jakims rozwiazaniem, ale niewatpliwie uciazliwe dla uzytkownikow, ktorzy nie rzadko wola hostowac pliki u siebie. Z gory dziekuje za pomoc.

Odpowiedzi

SirZooro Zobacz profil	7.08.2008, 16:14:23 Post #2
Grupa: Zarejestrowani Postów: 243 Pomógł: 32 Dołączył: 14.06.2007 Ostrzeżenie: (0%)	@zimi: no to źle Ci się wydaje (IMG:http://forum.php.pl/style_emoticons/default/smile.gif) - kiedyś udało mi się umieścić w pliku jpg kawałek kodu php. Dzięki temu można potem tak zrobić: [PHP] pobierz, plaintext <?php include "obrazek.jpg" ?> [PHP] pobierz, plaintext W rezultacie na stronie pojawi się trochę krzaków z pliku i wynik wykonania kodu php (np. wywołanie phpinfo).

Posty w temacie

aren CSRF 6.08.2008, 16:36:55

normanos ja mam sprawdzanie czy to jest obrazek z timeoutem... 6.08.2008, 16:58:57

aren No wiec wlasnie, wiec jak narazie chyba pozostaje ... 6.08.2008, 17:24:05

kubal nie wiem dokładnie o co wam chodzi (to przez przem... 6.08.2008, 19:28:51

normanos o ile jpg jest jpgiem 6.08.2008, 19:43:12

SirZooro Wg mnie przed CSRF nie da się zabezpieczyć inaczej... 6.08.2008, 20:01:55

normanos @SirZooro: to żadne wyjście z sytuacji, równie dob... 6.08.2008, 20:30:53

radex_p Wikipedia tyle tylko mówi na ten temat: Istnieje ... 6.08.2008, 20:37:19

normanos @radex_p: ale to akurat nie na temat 6.08.2008, 20:40:09

Kicok Cytat(normanos @ 6.08.2008, 21:40:09 ... 6.08.2008, 20:52:31

bełdzio najlepiej uploadować pliki na swoj serwer 6.08.2008, 22:07:16

SirZooro @bełdzio: teoretycznie tak, ale można sobie niechc... 6.08.2008, 23:03:21

bełdzio ale można się przed tym zabezpieczyc najblizsza n... 7.08.2008, 08:20:47

aren Widzę Panowie, że sporo odpowiedzi. Tak jak niektó... 7.08.2008, 08:23:02

SirZooro @bełdzio: zatem czekam - ciekaw jestem co napiszes... 7.08.2008, 09:19:28

rzymek01 tak jak pisze bełdzio, wysyłanie plików na swój se... 7.08.2008, 10:26:57

Sh4dow Takie działania można skutecznie utrudniać. Ale ch... 7.08.2008, 10:42:17

zimi Cytat@bełdzio: zatem czekam - ciekaw jestem c... 7.08.2008, 15:19:34

SirZooro @zimi: no to źle Ci się wydaje - kiedyś udało mi ... 7.08.2008, 16:14:23

zimi nie rozumiem jaką to niesie ze sobą ideę... ja na ... 7.08.2008, 17:34:49

SirZooro Żeby to wykorzystać trzeba: 1. Wysłać taki sprepar... 7.08.2008, 17:57:36

zimi o ho ho ho... i co jeszcze byś chciał hasło bazy ... 7.08.2008, 18:10:57

SirZooro Zawsze można poszukać Mi chodziło tutaj o pokaza... 7.08.2008, 18:21:45

.radex Mogę się mylić, bo nie jestem specem od zabezpiecz... 7.08.2008, 21:31:52

WebCM Szukam uniwersalnego sposobu ochrony przed CSRF. J... 18.11.2008, 14:30:46

2 Użytkowników czyta ten temat (2 Gości i 0 Anonimowych użytkowników)

0 Zarejestrowanych:

Tryb wyświetlania: Przełącz na: Standardowy · Przełącz na: Linearny+ · Drzewo

Aktualny czas: 18.10.2025 - 11:37

Hosting zapewnia