| כותב |
|
ענבל
משתמש מתחיל
הצטרף / הצטרפה: 15 August 2006
מדינה: Israel
משתמש: מנותק/ת
הודעות: 6
|
| נשלח בתאריך: 15 August 2006 בשעה 22:23 | | IP רשוּם
|
|
|
|
קראתי את המסמך של SQL INJECTION וכל ההזרקות נעשות שם מתוך שורת הURL.
שווה לכתוב את כל הFORMים באתר בPOST כדי שהם לא יופיעו בשורת הURL ?
בעיקרון הפורץ יכול להשתיל את הקוד שהוא רוצה גם בתוך הפורם המקורי, בתיבות הטקסט עצמן.. האם אני טועה?
|
| חזרה לתחילת העמוד |
|
| |
An7iVi2uS
משתמש מתחיל
הצטרף / הצטרפה: 09 February 2006
מדינה: Israel
משתמש: מנותק/ת
הודעות: 45
|
| נשלח בתאריך: 16 August 2006 בשעה 00:18 | | IP רשוּם
|
|
|
|
את לא טועה אבל זה מציב מכשול לרוב הפורצים המתחילים שלא מכירים את הקומבינות
ואם את כותבת את הדף בphp למשל...
אז את יכולה להסתיר מעין הקורא את המקור של הדף..את השורות של הקוד שמתייחסות לסיסמאות ולאימותים למינייהם.
על כל פנים זה תמיד יותר טוב מכלום.
__________________
|
| חזרה לתחילת העמוד |
|
| |
shoshan
מנהל האתר
הצטרף / הצטרפה: 16 July 2005
מדינה: Israel
משתמש: מנותק/ת
הודעות: 4637
|
| נשלח בתאריך: 16 August 2006 בשעה 02:03 | | IP רשוּם
|
|
|
|
הפורץ משתש בדפדפן, הדפדפן שולח אליך מידע.
כלומר שפורץ שולט בכל המידע שנשלח אליך.
כלומר בסופו של דבר זה לא עד כדי כל משנה.
תמיד תניחי שלמשתמש יש תיבט טקסט ענקית והוא יכול להכניס מה שבא לו לכל שדה (כולל hidden, כולל cookies, כולל [...]).
__________________
עד מתי רשעים יעלוזו?
עַל כֵּן אֶמְאַס וְנִחַמְתִּי עַל עָפָר וָאֵפֶר.
|
| חזרה לתחילת העמוד |
|
| |
ענבל
משתמש מתחיל
הצטרף / הצטרפה: 15 August 2006
מדינה: Israel
משתמש: מנותק/ת
הודעות: 6
|
| נשלח בתאריך: 16 August 2006 בשעה 02:08 | | IP רשוּם
|
|
|
|
קיצר, לא משמעותי, ולא מאובטח יותר להשתמש בPOST.. או שבכל זאת כדאי..?
|
| חזרה לתחילת העמוד |
|
| |
shoshan
מנהל האתר
הצטרף / הצטרפה: 16 July 2005
מדינה: Israel
משתמש: מנותק/ת
הודעות: 4637
|
| נשלח בתאריך: 16 August 2006 בשעה 02:16 | | IP רשוּם
|
|
|
|
בעקרון זה עובד יותר טוב כששולחים יותר מידע (נגיד, textarea), ובכלל זאת עדיף בשביל רוב המשתמשים שלא יראו שהם מגיעים לדף בסגנון login.php?password=raw+text.
__________________
עד מתי רשעים יעלוזו?
עַל כֵּן אֶמְאַס וְנִחַמְתִּי עַל עָפָר וָאֵפֶר.
|
| חזרה לתחילת העמוד |
|
| |
ענבל
משתמש מתחיל
הצטרף / הצטרפה: 15 August 2006
מדינה: Israel
משתמש: מנותק/ת
הודעות: 6
|
| נשלח בתאריך: 16 August 2006 בשעה 12:58 | | IP רשוּם
|
|
|
|
וד"א בקשר להסתרה של הקוד בPHP זה לא באמת עוזר כי אפשר לעשות SAVE AS לדף ... ואז לפתוח אותו.
(ובכלל אני בונה בASP)
אבל תודה 
|
| חזרה לתחילת העמוד |
|
| |
shoshan
מנהל האתר
הצטרף / הצטרפה: 16 July 2005
מדינה: Israel
משתמש: מנותק/ת
הודעות: 4637
|
| נשלח בתאריך: 16 August 2006 בשעה 13:16 | | IP רשוּם
|
|
|
|
חחח...ממש אי אפשר!
__________________
עד מתי רשעים יעלוזו?
עַל כֵּן אֶמְאַס וְנִחַמְתִּי עַל עָפָר וָאֵפֶר.
|
| חזרה לתחילת העמוד |
|
| |
ענבל
משתמש מתחיל
הצטרף / הצטרפה: 15 August 2006
מדינה: Israel
משתמש: מנותק/ת
הודעות: 6
|
| נשלח בתאריך: 16 August 2006 בשעה 16:19 | | IP רשוּם
|
|
|
|
ואוו זה ממש מעצבן, לא ידעתי שיש כזה קהל של אנשים שפורצים לאתרים לכיף שלהם... למה לעשות לאנשים עבודה יותר קשה??!?
למה אנשים שבונים אתרים צריכים להיות כאלה פרנואידיים!?
אני לא אגיד שזה לא מאתגר והכל, אבל למה?!?!
|
| חזרה לתחילת העמוד |
|
| |
shoshan
מנהל האתר
הצטרף / הצטרפה: 16 July 2005
מדינה: Israel
משתמש: מנותק/ת
הודעות: 4637
|
| נשלח בתאריך: 16 August 2006 בשעה 16:39 | | IP רשוּם
|
|
|
|
הממ...
כדי שיהיה לנו באמת מעניין
__________________
עד מתי רשעים יעלוזו?
עַל כֵּן אֶמְאַס וְנִחַמְתִּי עַל עָפָר וָאֵפֶר.
|
| חזרה לתחילת העמוד |
|
| |
An7iVi2uS
משתמש מתחיל
הצטרף / הצטרפה: 09 February 2006
מדינה: Israel
משתמש: מנותק/ת
הודעות: 45
|
| נשלח בתאריך: 16 August 2006 בשעה 18:12 | | IP רשוּם
|
|
|
|
לא ענבל שמירה בשם לא עובדת אם עושים את זה כמו שצריך (:
ואגב זה אפשרי גם ב asp אבל לא משנה
__________________
|
| חזרה לתחילת העמוד |
|
| |
ענבל
משתמש מתחיל
הצטרף / הצטרפה: 15 August 2006
מדינה: Israel
משתמש: מנותק/ת
הודעות: 6
|
| נשלח בתאריך: 16 August 2006 בשעה 19:01 | | IP רשוּם
|
|
|
|
טוב אתה מוזמן להאיר את עיני בתחום.. (בקשר להסתרה שSAVE AS לא חושפת)
אני אשמח לשמוע.. יאללה תעשו לעצמכם חיים קשים ותגידו לי עכשיו את כל הטריקים!! :D
|
| חזרה לתחילת העמוד |
|
| |
shoshan
מנהל האתר
הצטרף / הצטרפה: 16 July 2005
מדינה: Israel
משתמש: מנותק/ת
הודעות: 4637
|
| נשלח בתאריך: 16 August 2006 בשעה 19:08 | | IP רשוּם
|
|
|
|
אין טריקים, השרת מפרש את כל ה-ASP ושולח HTML.
__________________
עד מתי רשעים יעלוזו?
עַל כֵּן אֶמְאַס וְנִחַמְתִּי עַל עָפָר וָאֵפֶר.
|
| חזרה לתחילת העמוד |
|
| |
ענבל
משתמש מתחיל
הצטרף / הצטרפה: 15 August 2006
מדינה: Israel
משתמש: מנותק/ת
הודעות: 6
|
| נשלח בתאריך: 16 August 2006 בשעה 20:40 | | IP רשוּם
|
|
|
|
ואללה.. קטע מוזר (בציניות)
|
| חזרה לתחילת העמוד |
|
| |
Mustang
משתמש פעיל
הצטרף / הצטרפה: 12 January 2005
משתמש: מנותק/ת
הודעות: 104
|
| נשלח בתאריך: 21 August 2006 בשעה 21:35 | | IP רשוּם
|
|
|
|
אני הייתי משתמש ב GET רק למשל אם היה לי איזה מנוע חיפוש פנימי בתוך האתר ואז הייתי משתמש בGET בשביל שמישהו יוכל לחפש משהו ואז לתת קישור ישיר לתוצאה לחבר או משהו כזה
בכל שאל המקומות הייתי משתמש ב POST
|
| חזרה לתחילת העמוד |
|
| |
נושאים פעילים
רשימת משתמשים
חיפוש
עזרה
הרשמה
התחברות
UnderWarrior Forums : 
אבטחת מידע
