Sto leggendo la documentazione di Kentico dove descrive l'uso degli hash per validare le stringhe di query
EX:http://localhost/KenticoCMS8/cms/getfile/2d003444-9a27-43c9-be97-4f5832474015/Partners_logos_silver.aspx?latestfordocid=75&hash=eee41e027bd45142fd1f44d173d61950f34d6e98f4e35018fda70542322adc77&chset=013bca78-6bf2-42ac-8959-b8bbbeb0a8e8
Documentazione link
Sto facendo un'ipotesi: sul suo hashing, una stringa di query e includerla come parte della stringa non è utile. Chiunque conosca l'algoritmo (pubblicato con l'aiuto del doc) potrebbe semplicemente generare l'hash dalla sua nuova query-stringa dannosa e includerlo come parte della richiesta.
La protezione aggiunta che Kentico utilizza è una salta statica che viene inclusa quando si esegue l'hashing della stringa di query. Questo dovrebbe rendere la generazione del proprio hash non così semplice.
La mia domanda è: quanto sarebbe difficile risolvere questo sale? Un utente malintenzionato potrebbe facilmente generare molte stringhe di query diverse. Conoscerebbero l'input, l'output e l'algoritmo. Potrebbero semplicemente capire il sale?
E se conoscono il sale, possono quindi senza difficoltà generare le proprie stringhe di query?