SELFPHP: Version 5.8.2 Befehlsreferenz - Tutorial – Kochbuch – Forum für PHP Einsteiger und professionelle Entwickler

SELFPHP


Professional CronJob-Service

Suche



CronJob-Service    
bei SELFPHP mit ...



 + minütlichen Aufrufen
 + eigenem Crontab Eintrag
 + unbegrenzten CronJobs
 + Statistiken
 + Beispielaufrufen
 + Control-Bereich

Führen Sie mit den CronJobs von SELFPHP zeitgesteuert Programme auf Ihrem Server aus. Weitere Infos



:: Buchempfehlung ::

Fortgeschrittene CSS-Techniken

Fortgeschrittene CSS-Techniken zur Buchempfehlung
 

:: Anbieterverzeichnis ::

Globale Branchen

Informieren Sie sich über ausgewählte Unternehmen im Anbieterverzeichnis von SELFPHP  

 

:: Newsletter ::

Abonnieren Sie hier den kostenlosen SELFPHP Newsletter!

Vorname: 
Name:
E-Mail:
 
 

Zurück   PHP Forum > SELFPHP > PHP für Fortgeschrittene und Experten

PHP für Fortgeschrittene und Experten Fortgeschrittene und Experten können hier über ihre Probleme und Bedenken talken

 
 
Themen-Optionen Ansicht
  #1  
Alt 19.11.2006, 17:11:19
overclocker overclocker ist offline
Junior Member
 
Registriert seit: May 2002
Beiträge: 179
Direkten Aufruf einer Seite(mit GET/POST Param.) verhindern

Hallo Leute,
war schon lange nicht mehr aktiv hier ;) (und hab auch einiges vergessen..).

Angenommen es gibt auf einer Seite die Möglichkeit Leute zur BuddyListe hinzuzufügen.
Dann gibt es eine Seite, auf der nach einer Bestätigung gefragt wird (z.B. Seitenname: add_buddy_confirm.php), wenn man nun auf "Buddy bestätigen" klickt, dann landet man auf "add_buddy.php". Dort wird nun überprüft, ob die per HTTP POST/GET übertragene Variable übertragen wurde und der Freund wird zur BuddyListe hinzugefügt.
Jetzt kommt das Problem:
Wenn nun ein Angreifer eine eigene Seite erstellt (auf seinem Server), die (bei GET) als Blind-IMG die Adresse http://www.example.org/add_buddy.php...23&submit=true enthält (oder bei POST über JavaScript eine Post Anfrage an den Server sendet), und diese Seite an ein eingeloggtes Mitglied sendet, dann landet der Angreifer auf der BuddyListe, nachdem das "Opfer" auf den Link geklickt hat.
Nun stellt sich die Frage, wie man dafür sorgt, dass trotzdem add_buddy_confirm.php besucht werden muss.
Wenn man auf add_buddy_confirm.php z.B. $_SESSION['visited'] = TRUE setzt und dies auf add_buddy.php nachprüft, dann bringt das ja nichts, denn der Angreifer kann zuerst add_buddy_confirm.php aufrufen und gleich danach add_buddy.php mit den GET/POST Parametern (alles als Blind IMG).
Fällt hier jemandem eine Lösung ein, mit der dieser Trick über eine "blind img" nicht geht?
HTTP_REFERER wäre keine gute Lösung.. das einzige was mir einfällt wäre eine Überprüfung über einen Code (als Grafik), so wie es bei den meisten Seiten bei der Anmeldung der Fall ist.

Sorry für den langen Text, aber ich konnte das nicht kürzer erklären.

Danke im Voraus.
overclocker
Mit Zitat antworten
 


Aktive Benutzer in diesem Thema: 1 (Registrierte Benutzer: 0, Gäste: 1)
 
Themen-Optionen
Ansicht

Forumregeln
Es ist Ihnen nicht erlaubt, neue Themen zu verfassen.
Es ist Ihnen nicht erlaubt, auf Beiträge zu antworten.
Es ist Ihnen nicht erlaubt, Anhänge hochzuladen.
Es ist Ihnen nicht erlaubt, Ihre Beiträge zu bearbeiten.

BB-Code ist an.
Smileys sind aus.
[IMG] Code ist aus.
HTML-Code ist aus.

Gehe zu

Ähnliche Themen
Thema Autor Forum Antworten Letzter Beitrag
Gegen direkten aufruf schützen baSe--T PHP Grundlagen 3 01.04.2004 10:18:13
Direkten download von anderen Seiten verhindern??? Achilles2 PHP für Fortgeschrittene und Experten 3 09.01.2003 01:19:44


Alle Zeitangaben in WEZ +2. Es ist jetzt 12:43:49 Uhr.


Powered by vBulletin® Version 3.8.3 (Deutsch)
Copyright ©2000 - 2024, Jelsoft Enterprises Ltd.


© 2001-2024 E-Mail SELFPHP OHG, info@selfphp.deImpressumKontakt