Un Meta Tag può essere falsificato? (È sufficiente un metatag per dichiarare una pagina protetta)?

Naviga le tue risposte
3

Sfondo

Sto lavorando come sviluppatore front-end e ho pochissima esperienza di sicurezza. Stiamo lavorando con un'impostazione di backend molto oscura, utilizzando un database 4D e WebClerk in cima ad esso.

WebClerk consente agli utenti registrati. Tutte le pagine sono effettive .html pagine, con codice WebClerk specifico che viene elaborato su pageload (simile a PHP). Per sapere se una pagina è protetta, utilizza un tag meta personalizzato in head . Quando la pagina viene letta dal server, controlla se esiste il tag meta di sicurezza e, in caso affermativo, esegue un controllo di accesso e, in caso contrario, passa a una pagina di errore.

Domanda

È sicuro un tag meta ? Può essere falsificato?

    
posta Andy Mercer 22.09.2015 - 15:15
fonte

2 risposte

4

Qualsiasi cosa fornita dal client al server può essere modificata dal client, inclusi eventuali contenuti / tag HTML.

Guarda prodotti come Burp Proxy per darti un'idea della potenza disponibile per il cliente. Ti consente di intercettare manualmente le risposte, quindi ispezionarle e modificarle prima di inviarle. È uno strumento molto comune da usare per hacker (e professionisti della sicurezza).

    
risposta data 22.09.2015 - 15:29
fonte
1

La vera domanda che devi porsi è, può il tuo utente modificare i file html? Se i tuoi utenti possono modificare o caricare file html, devi assicurarti che il tuo server sia configurato in modo tale che non elabori il codice (cioè siano forniti come semplici file statici) o che solo gli utenti privilegiati e fidati possano carica su aree che consentono di elaborare le pagine come codice lato server.

Un'altra considerazione è che potresti voler controllare che il meta tag non sia presente nell'output finale della pagina. Ciò potrebbe far trapelare le informazioni di autorizzazione e, a seconda del modello di sicurezza, potrebbe essere un problema.

Se si utilizza meta tag o database o qualcos'altro per implementare l'autorizzazione è irrilevante. Ciò che importa è che il componente che impone l'autorizzazione deve essere il server (e non il client). Il client viene eseguito sul computer dell'utente, è necessario presumere che l'utente possa eseguire qualsiasi operazione sul proprio computer, ad esempio non rispettare il codice richiesto al client per eseguire o divulgare all'utente il contenuto di qualsiasi cosa che si sposta tra il server e il client. / p>     

risposta data 22.09.2015 - 15:54
fonte

Leggi altre domande sui tag

OpenSSH utilizza le cifre di esportazione? Se un ladro ha il telefono in suo possesso, come può essere implementato in modo sicuro il recupero password?