Un Meta Tag può essere falsificato? (È sufficiente un metatag per dichiarare una pagina protetta)?

3

Sfondo

Sto lavorando come sviluppatore front-end e ho pochissima esperienza di sicurezza. Stiamo lavorando con un'impostazione di backend molto oscura, utilizzando un database 4D e WebClerk in cima ad esso.

WebClerk consente agli utenti registrati. Tutte le pagine sono effettive .html pagine, con codice WebClerk specifico che viene elaborato su pageload (simile a PHP). Per sapere se una pagina è protetta, utilizza un tag meta personalizzato in head . Quando la pagina viene letta dal server, controlla se esiste il tag meta di sicurezza e, in caso affermativo, esegue un controllo di accesso e, in caso contrario, passa a una pagina di errore.

Domanda

È sicuro un tag meta ? Può essere falsificato?

    
posta Andy Mercer 22.09.2015 - 17:15
fonte

2 risposte

4

Qualsiasi cosa fornita dal client al server può essere modificata dal client, inclusi eventuali contenuti / tag HTML.

Guarda prodotti come Burp Proxy per darti un'idea della potenza disponibile per il cliente. Ti consente di intercettare manualmente le risposte, quindi ispezionarle e modificarle prima di inviarle. È uno strumento molto comune da usare per hacker (e professionisti della sicurezza).

    
risposta data 22.09.2015 - 17:29
fonte
1

La vera domanda che devi porsi è, può il tuo utente modificare i file html? Se i tuoi utenti possono modificare o caricare file html, devi assicurarti che il tuo server sia configurato in modo tale che non elabori il codice (cioè siano forniti come semplici file statici) o che solo gli utenti privilegiati e fidati possano carica su aree che consentono di elaborare le pagine come codice lato server.

Un'altra considerazione è che potresti voler controllare che il meta tag non sia presente nell'output finale della pagina. Ciò potrebbe far trapelare le informazioni di autorizzazione e, a seconda del modello di sicurezza, potrebbe essere un problema.

Se si utilizza meta tag o database o qualcos'altro per implementare l'autorizzazione è irrilevante. Ciò che importa è che il componente che impone l'autorizzazione deve essere il server (e non il client). Il client viene eseguito sul computer dell'utente, è necessario presumere che l'utente possa eseguire qualsiasi operazione sul proprio computer, ad esempio non rispettare il codice richiesto al client per eseguire o divulgare all'utente il contenuto di qualsiasi cosa che si sposta tra il server e il client. / p>     

risposta data 22.09.2015 - 17:54
fonte

Leggi altre domande sui tag