|
ru.nethack
- RU.NETHACK -------------------------------------------------------------------
From : Dmitry Leonov 2:5020/150.15 20 Nov 2001 15:49:24
To : Dmitry Radishev
Subject : Подстановка
--------------------------------------------------------------------------------
19 Nov 01 23:32, Dmitry Radishev отписал к Vladislav Myasnyankin:
NP>>> не отключаясь от Internt-а, в онлайне, подставить в эту форму
NP>>> какие-то свои поля, а затем эту форму отправить?
VM>> Открыть в другом окне заранее написанный html с нужными полями и
VM>> отправить.
DR> Hе помню точно какие, но помню, что какие-то грабли с этим были.
DR> Hавскидку понятно, что, например, referer будет отличаться, но с
DR> другой стороны - вебмастера не настолько параноики, чтобы проверять
DR> реферер в скриптах.
Hу почему же... Лично я как раз всюда за это агитирую в качестве первой линии
обороны. Только проблема в том, что никто не мешает подделать и referer - хоть
скриптом на перле, хоть с помошью @guard'а и т.п.
В качестве второй линии - генерить форму скриптом и запоминать ip/кидать
куку/генерить случайное hidden-поле, и проверять это дело при постинге. Очень
способствует против, например, публикации заполненной формы где-нибудь в ньюсах
и прочего автоматизированного флуда (это, увы, не паранойя, а печальный опыт).
Примеры кода - разумеется, в третьем издании "Атаки на Internet" :)))) Hемного
общих слов на эту тему есть и во втором.
With best regards, mail: dl@bugtraq.ru
Dmitry Leonov http://www.bugtraq.ru
--- GoldED/W32 3.0.1
* Origin: We call it beta 'cause it's beta than nothing (2:5020/150.15)
Вернуться к списку тем, сортированных по: возрастание даты уменьшение даты тема автор
| Тема: |
Автор: |
Дата: |
|
Re: Подстановка |
Vladislav Myasnyankin |
19 Nov 2001 22:32:54 |
 Подстановка |
Dmitry Radishev |
20 Nov 2001 00:32:09 |
 Подстановка |
Dmitry Leonov |
20 Nov 2001 15:49:24 |
|
|
