SELFPHP: Version 5.8.1 Befehlsreferenz - Tutorial – Kochbuch – Forum für PHP Einsteiger und professionelle Entwickler

SELFPHP


Professional CronJob-Service

Suche


International PHP Conference


WebTech Conference



CronJob-Service    
bei SELFPHP mit ...



 + minütlichen Aufrufen
 + eigenem Crontab Eintrag
 + unbegrenzten CronJobs
 + Statistiken
 + Beispielaufrufen
 + Control-Bereich

Führen Sie mit den CronJobs von SELFPHP zeitgesteuert Programme auf Ihrem Server aus. Weitere Infos



PHP Summit


Software Architecture Summit


:: Buchempfehlung ::

Der CSS-Problemlöser

Der CSS-Problemlöser zur Buchempfehlung
 
HTML5 Days


JavaScript Days


:: Anbieterverzeichnis ::

Globale Branchen

Informieren Sie sich über ausgewählte Unternehmen im Anbieterverzeichnis von SELFPHP  

 

:: Newsletter ::

Abonnieren Sie hier den kostenlosen SELFPHP Newsletter!

Vorname: 
Name:
E-Mail:
 
 

Deine Leidenschaft ist die Unterwasserfoto-grafie?


Dann ist Qozido genau das Richtige für Dich!

Die Bilderverwaltung mit Logbuch für Taucher und Schnorchler ist da!

www.qozido.de

 


Zurück   PHP Forum > SELFPHP > PHP für Fortgeschrittene und Experten

PHP für Fortgeschrittene und Experten Fortgeschrittene und Experten können hier über ihre Probleme und Bedenken talken

Antwort
 
Themen-Optionen Ansicht
  #1  
Alt 19.11.2006, 16:11:19
overclocker overclocker ist offline
Junior Member
 
Registriert seit: May 2002
Beiträge: 179
overclocker befindet sich auf einem aufstrebenden Ast
Direkten Aufruf einer Seite(mit GET/POST Param.) verhindern

Hallo Leute,
war schon lange nicht mehr aktiv hier ;) (und hab auch einiges vergessen..).

Angenommen es gibt auf einer Seite die Möglichkeit Leute zur BuddyListe hinzuzufügen.
Dann gibt es eine Seite, auf der nach einer Bestätigung gefragt wird (z.B. Seitenname: add_buddy_confirm.php), wenn man nun auf "Buddy bestätigen" klickt, dann landet man auf "add_buddy.php". Dort wird nun überprüft, ob die per HTTP POST/GET übertragene Variable übertragen wurde und der Freund wird zur BuddyListe hinzugefügt.
Jetzt kommt das Problem:
Wenn nun ein Angreifer eine eigene Seite erstellt (auf seinem Server), die (bei GET) als Blind-IMG die Adresse http://www.example.org/add_buddy.php...23&submit=true enthält (oder bei POST über JavaScript eine Post Anfrage an den Server sendet), und diese Seite an ein eingeloggtes Mitglied sendet, dann landet der Angreifer auf der BuddyListe, nachdem das "Opfer" auf den Link geklickt hat.
Nun stellt sich die Frage, wie man dafür sorgt, dass trotzdem add_buddy_confirm.php besucht werden muss.
Wenn man auf add_buddy_confirm.php z.B. $_SESSION['visited'] = TRUE setzt und dies auf add_buddy.php nachprüft, dann bringt das ja nichts, denn der Angreifer kann zuerst add_buddy_confirm.php aufrufen und gleich danach add_buddy.php mit den GET/POST Parametern (alles als Blind IMG).
Fällt hier jemandem eine Lösung ein, mit der dieser Trick über eine "blind img" nicht geht?
HTTP_REFERER wäre keine gute Lösung.. das einzige was mir einfällt wäre eine Überprüfung über einen Code (als Grafik), so wie es bei den meisten Seiten bei der Anmeldung der Fall ist.

Sorry für den langen Text, aber ich konnte das nicht kürzer erklären.

Danke im Voraus.
overclocker
Mit Zitat antworten
Antwort


Aktive Benutzer in diesem Thema: 1 (Registrierte Benutzer: 0, Gäste: 1)
 
Themen-Optionen
Ansicht

Forumregeln
Es ist Ihnen nicht erlaubt, neue Themen zu verfassen.
Es ist Ihnen nicht erlaubt, auf Beiträge zu antworten.
Es ist Ihnen nicht erlaubt, Anhänge hochzuladen.
Es ist Ihnen nicht erlaubt, Ihre Beiträge zu bearbeiten.

BB-Code ist an.
Smileys sind aus.
[IMG] Code ist aus.
HTML-Code ist aus.

Gehe zu

Ähnliche Themen
Thema Autor Forum Antworten Letzter Beitrag
Gegen direkten aufruf schützen baSe--T PHP Grundlagen 3 01.04.2004 09:18:13
Direkten download von anderen Seiten verhindern??? Achilles2 PHP für Fortgeschrittene und Experten 3 09.01.2003 00:19:44


Alle Zeitangaben in WEZ +2. Es ist jetzt 13:39:44 Uhr.


Powered by vBulletin® Version 3.8.3 (Deutsch)
Copyright ©2000 - 2014, Jelsoft Enterprises Ltd.


© 2001-2014 E-Mail SELFPHP OHG, info@selfphp.deImpressumKontakt