Witaj Gościu! ( Zaloguj | Rejestruj )

Forum PHP.pl

> [JavaScript] Manipulacje firebug
kkuubbaa88
post
Post #1





Grupa: Zarejestrowani
Postów: 510
Pomógł: 1
Dołączył: 27.08.2007

Ostrzeżenie: (0%)
-----

witam

dotychczas myslalem, ze jak cos jest zapisane na stronie to nie mozna tego zmieniac, ani probowac wykorzystać w niepowołany sposób. niestety firebug bardzo szybko pokazał mi jak bardzo się myliłem. Teraz jakiekolwiek zadania po stronie klienta można w bardzo nieciekawy sposób zmieniać. głównie obawiam sie javascript,ajax i wszelakich zmian/atakow na nie. kazdy kto tylko chce moze zmieniac kod i sprawdzac jak reaguje strona, az w koncu dojdzie do tego w jaki sposob mozna zaszkodzic.

znacie moze jakies informacje na temat jak sobie radzic z czyms takim ? w jaki sposob najlepiej pisac skrypty, aby staly sie odporne na tego typu zagrania ? czy moze nie trzeba sie tym przejmowac, poniewaz to sa tylko zmiany i bledy po stronie klienta, a cala baza strony oraz pliki nie sa naruszane ?
Go to the top of the page
+Quote Post
 
 Start new topic
Odpowiedzi
thek
post
Post #2





Grupa: Moderatorzy
Postów: 4 362
Pomógł: 714
Dołączył: 12.02.2009
Skąd: Jak się położę tak leżę :D
Firebug działa po stronie klienta. Jedyne co może Ci "zaszkodzić" to znajomość struktury, tego co i jak działa, czyli krótko mówiąc - mechaniki strony. Koleś przeanalizuje co jak działa i zacznie się bawić w preparowanie danych by trafić na lukę, niezabezpieczone miejsce, które pozwoli mu uzyskać dostęp do nie swoich danych na serwerze. Przykład? Usunięcie z poziomu panelu swojego posta. Większość ludzi pisząc daje coś prostego w stylu delete.php?id=132 i ok.. Ale ilu z nich pisząc skrypt sprawdza nie tylko prawidłowość id (liczba dodatnia), ale także prawa dostępu do posta. Przecież można usunąć post kogoś innego, bo nigdzie nie sprawdzono kto jest autorem. To błędy wynikające z bardzo ograniczonego podejścia do manipulacji danymi. Firebug sam w sobie nie jest niebezpieczny. Robi się jednak taki w doświadczonych rękach.

I tak. Phpion ma rację. Wszystko co idzie od usera to dane potencjalnie niebezpieczne, spreparowane przez niego. Jak wspomniał już poprzednik, value dla select można przecież podmienić, a tę kontrolkę akurat mało kto sprawdza z początkujących. Sytuacja komplikuje się także przy polach typu file, z którymi wielu nie wie jak się nawet obchodzić poprawnie, a co dopiero mówić o zabezpieczaniu.
Powód edycji: [thek]: Małe dopowiedzenie.
Go to the top of the page
+Quote Post

Posty w temacie
- kkuubbaa88   [JavaScript] Manipulacje firebug   23.07.2010, 12:18:18
- - phpion   Cytat(kkuubbaa88 @ 23.07.2010, 13:18...   23.07.2010, 12:21:49
- - thek   Firebug działa po stronie klienta. Jedyne co może ...   23.07.2010, 12:27:48
- - kkuubbaa88   filtrowane mam wszystkie dane jak leciu input,text...   23.07.2010, 12:28:28

« Następny starszy · Przedszkole · Następny nowszy »
 

Reply to this topicStart new topic
2 Użytkowników czyta ten temat (2 Gości i 0 Anonimowych użytkowników)
0 Zarejestrowanych:

 

Tryb wyświetlania: Przełącz na: Standardowy · Przełącz na: Linearny+ · Drzewo

Śledź ten temat · Wyślij temat na e-mail · Wydrukuj ten temat · Subskrybuj to forum

RSS Aktualny czas: 10.10.2025 - 23:38
Powered By IP.Board © 2025  IPS, Inc.
All changes by PHP.pl Administrators
Hosting zapewnia NQ.pl hosting, trac, svn