[מדריך] בניית קוד אבטחה רנדומאלי ב PHP - הוסטס

Morishani · 16-06-06, 20:22

כל הכבוד על המדריך,
אבל ככה לא מגנים על אתר

המטרה היא שללקוח לא יהיה את אותו הקוד בצורה טקסטואלית, ומה שעשית שזה בעצם ידפיס את הזמן בתמונה ובטופס, אז זה לא ממש עוזר.
(ד.א גם יכול להיות דיליי של שניה בין הצגת הטופס לקריאה לשרת שיביא את התמונה, אז ככה הכל מתפקשש)

מה שאתה צריך זה להכניס את ה"קוד" לתוך הsession (סישן שמור בשרת) ככה שללקוח לא יהיה אותו בכלל ואז כדי לבדוק להוציא מהסישן את ה"קוד" הזה ולאמת

-roee- · 16-06-06, 20:31

ציטוט:

נכתב במקור על ידי Morishani

כל הכבוד על המדריך,
אבל ככה לא מגנים על אתר

המטרה היא שללקוח לא יהיה את אותו הקוד בצורה טקסטואלית, ומה שעשית שזה בעצם ידפיס את הזמן בתמונה ובטופס, אז זה לא ממש עוזר.
(ד.א גם יכול להיות דיליי של שניה בין הצגת הטופס לקריאה לשרת שיביא את התמונה, אז ככה הכל מתפקשש)

מה שאתה צריך זה להכניס את ה"קוד" לתוך הsession (סישן שמור בשרת) ככה שללקוח לא יהיה אותו בכלל ואז כדי לבדוק להוציא מהסישן את ה"קוד" הזה ולאמת

עוד לא קרה שום מקרה של דיליי שידוע לי..
וגם עוד לא ידוע לי על שום בוט שיודע להכנס לקוד מקור ולבדוק את התיבות המוסתרות..

Morishani · 16-06-06, 20:35

ציטוט:

נכתב במקור על ידי bigsmoke

עוד לא קרה שום מקרה של דיליי שידוע לי..
וגם עוד לא ידוע לי על שום בוט שיודע להכנס לקוד מקור ולבדוק את התיבות המוסתרות..

אוקיי בקשר לדיליי אם לא קרה אז אחלה - זה זניח.
אבל להכנס לקוד מקור ולבדוק את התיבות המוסתרות - זה פרצת אבטחה, לא עשית כלום עם התמונה הזאת, זה כאילו עשית אותה ליופי.

-roee- · 16-06-06, 20:46

ציטוט:

נכתב במקור על ידי Morishani

אוקיי בקשר לדיליי אם לא קרה אז אחלה - זה זניח.
אבל להכנס לקוד מקור ולבדוק את התיבות המוסתרות - זה פרצת אבטחה, לא עשית כלום עם התמונה הזאת, זה כאילו עשית אותה ליופי.

סבבה אז אפשר לעשות שהתיבות המוסתרות יהייו מוצפנות ב base64_encode ואז בפונקציה שבודקת את ה FORM לעשות base64_decode

meshuga · 16-06-06, 22:33

ציטוט:

נכתב במקור על ידי bigsmoke

עוד לא קרה שום מקרה של דיליי שידוע לי..
וגם עוד לא ידוע לי על שום בוט שיודע להכנס לקוד מקור ולבדוק את התיבות המוסתרות..

בלי להעליב, ובאמת.....אל תכתוב מדריך אם אתה לא יודע.....
זה הקוד שלך:

PHP קוד:


			
        <form method="POST\" action=\"?act=doimage\"> 

          <img src=\"image.php?act=image\"><br> 

          <input type=\"hidden\" name=\"real\" value=\"$string\"> 

          <font face=arial>Enter the code below:</font> <input type=\"text\" name=\"input\" size=\"20\"><br> 

          <input type=\"submit\" value=\"&ugrave;&igrave;&ccedil;\" name=\"submit\"> 

        </form>

ואם אני יעשה ככה
:

PHP קוד:


			
        <form method="POST\" action=\"?act=doimage\"> 

          <img src=\"image.php?act=image\"><br> 

          <input type=\"hidden\" name=\"real\" value=\"asd\"> 

          <font face=arial>Enter the code below:</font> <input type=\"text\" name=\"input\" value=\"asd\" size=\"20\"><br> 

          <input type=\"submit\" value=\"&ugrave;&igrave;&ccedil;\" name=\"submit\"> 

        </form>

(שים לב לשינויים)...
עכשיו...אני ישים בשאר התיבות מה שבא לי...וישלח לטופס בלי בעיות אימות בלי כלום, אפשר להכין בJS שזה ישלח כל שניה את הטופס...ואז יהיה 3600 הרשמות (לדוגמא) בשעה, ולשאלתך, כן בלי בעיה רואים קוד מקור של דף....וגם לא בעיה לבנות בוט על זה.

כמו שאמרו פה, אתה המידע מכניסים לסשן, דבר שנשמר על השרת ולא על מחשב הלקוח לא גלוי ולא ניתן לשינוי.

16-06-06, 20:22	# 1
Morishani חבר בקהילה מיני פרופיל תאריך הצטרפות: Jan 2006 הודעות: 124	כל הכבוד על המדריך, אבל ככה לא מגנים על אתר המטרה היא שללקוח לא יהיה את אותו הקוד בצורה טקסטואלית, ומה שעשית שזה בעצם ידפיס את הזמן בתמונה ובטופס, אז זה לא ממש עוזר. (ד.א גם יכול להיות דיליי של שניה בין הצגת הטופס לקריאה לשרת שיביא את התמונה, אז ככה הכל מתפקשש) מה שאתה צריך זה להכניס את ה"קוד" לתוך הsession (סישן שמור בשרת) ככה שללקוח לא יהיה אותו בכלל ואז כדי לבדוק להוציא מהסישן את ה"קוד" הזה ולאמת __________________ A Proud member of the skrap team


	ההרשמה לפורום נפתחה - אפשרות רישום לכל אימייל (דומיינים פרטיים, gmail, הוטמייל..)!

חברים פעילים הצופים באשכול זה: 1 (0 חברים ו- 1 אורחים)