Zpět na seznam článků     Zpět na článek

Komentáře ke článku

 
 
 BBCode
aas | 81.107.111.*1.3.2008 0:16
nedalo by sa tymto sposobom obist adsense reklamy?niekto by navstivil stranku a na pozadi by sa otvorila adsense reklama a pripisali peniaze..
.cCuMiNn. | E-mail | Website | PGP17.10.2007 20:49
sMartin: OK, napravuji své původní tvrzení, u kterého jsem si původně chybně vyložil určité informace. Správně by tedy mělo být uvedeno toto:

Hodnota referer by byla v případě CSRF útoků velice účinná. Ovšem vzhledem k tomu, že tuto položku odesílá webový prohlížeč, bývá tato hodnota občas prohlížečem pro zvýšení bezpečnosti spoofována nebo zcela odstraněna. Z tohoto důvodu není možné referer doporučit, protože by tak byly zamítnuty i korektní požadavky.

----------
Teprve když vstáváte s hackingem a uléháte s myšlenkou na něj, máte šanci být hackerem.
sMartin | 85.207.165.*18.3.2007 15:37
Jasny, v HTTP protokolu muzes napsat jako referer cokoliv.

Ale kdyz to chces vyuzit pro CSRF utok, tak to musi provest prohlizec obeti (aby se poslaly cookie).

Napriklad v drivejsich verzich Flash pluginu byla tahle moznost:

[link]

.cCuMiNn. | E-mail | Website | PGP17.3.2007 22:04
sMartin: Bez problému to lze udělat pokud máš vlastní server. Co se týká webhostingu, tak ti nedokážu odpovědět hned, ale jde to také na 100%. Dej mi ještě čas, podívám se na to, jakmile se dostanu z té děsné honičky...

----------
Teprve když vstáváte s hackingem a uléháte s myšlenkou na něj, máte šanci být hackerem.
sMartin | 213.144.149.*16.3.2007 18:54
.cCuMiNn.: zeptam se jeste jednou, jakym zpusobem efektivne ofakujes referer pro CSRF utok?

Souhlasim s tim, ze testovani referu neni nejstastnejsi vec a neochrani.

.cCuMiNn. | E-mail | Website | PGP7.3.2007 20:25
Fisi: Díky za upozornění - opraveno.

----------
Teprve když vstáváte s hackingem a uléháte s myšlenkou na něj, máte šanci být hackerem.
Fisi | E-mail7.3.2007 16:42
upozornuji ze link na clanek uzivatele seznam v ohrozeni je nefunkcni
Fisi | E-mail7.3.2007 16:33
neni co dodat super clanek
FantomasS | E-mail6.3.2007 19:28
+1 (Výborný článek jako dycky) Tohle mě ani nenapadlom,tak a teď abych zabezpečoval :-/ ...
Harvie | E-mail | Website | ICQ 2837829786.3.2007 17:18
jj nezklame.

----------
Harvie's blog: [link] g33k-shop: [link] fs: [link]
Registered GNU/LINUX user #468114 [link]

Stránky: 1 2 3