POST Request to Server

Naviga le tue risposte
0

Supponiamo che un utente abbia effettuato l'accesso a una pagina Web con il proprio account, quindi effettua una richiesta POST e la cattura. Con alcune modifiche alla richiesta catturata, è in esecuzione. Sicuro. Passa senza problemi.

Si tratta di un problema di sicurezza sul lato dello sviluppo? Perché la richiesta POST modificata contiene dati, che non sono sul lato database / server. L'utente cambia nome e indirizzo per ignorare alcune restrizioni.

Che cosa dovrei esaminare per evitare che ciò accada di nuovo? Catturo l'IP di questo utente. Ma mi sembra che possiamo fare di meglio per prevenirlo con le nostre capacità tecniche.

    
posta Dmomo 27.09.2017 - 00:25
fonte

1 risposta

1

In un'applicazione server non sicura questo sarebbe un problema. Ma è più probabile che non funzioni contro la maggior parte delle applicazioni. Questa è la sicurezza delle applicazioni Web 101.

Un'applicazione opportunamente codificata prenderà questi nomi / valori e disinfetterà il lato del server di dati. Una volta che i dati vengono verificati come quelli che stanno cercando, li renderanno parte della query. Quindi probabilmente qualsiasi nome e valore che invii il codice delle applicazioni non riconosciuto verrà semplicemente ignorato. La gestione degli errori di base potrebbe persino interrompere la richiesta.

Inoltre possono avere token di sicurezza sul posto. Questo per impedire a qualcuno di fare una richiesta POST con dati fraudolenti e ingannare qualcun altro per inviarlo e per bloccare l'invio di spam. Quindi semplicemente presentare una richiesta POST potrebbe non consentirgli di passare affatto.

Nel complesso è un argomento piuttosto ampio. Ma puoi leggere di più su come i dati serveride vengono gestiti in modo sicuro all'indirizzo OWASP se desideri familiarizzare meglio.

    
risposta data 27.09.2017 - 02:40
fonte

Leggi altre domande sui tag

Come posso determinare da dove proviene lo script iniettato? Buon libro su PCI DSS? [chiuso]