Надуманно

Sanja v.2 15.03.2007 19:07

Чтобы атака состоялась, надо заманить авторизованного юзера на нужную страницу и знать, по какому URL с какими параметрами можно отправить деструктивный запрос.

Если у вас ситуация, когда ядерный реактор управляется вебинтерфейсом, можно накрутть дополнительную защиту. В иных случаях не стоит заморачиваться.

Из мер противодействия сразу придумалось:
- вставлять в формы ^math:md5[текущее время + секретная фраза] и не принимать формы, заполненные более, чем 5 минут назад
- вставить дополнительный шаг перед деструктивным действием - страничку "вы уверены?". Кнопку на второй странице нажать злоумышленнику уже не получится.

уязвимость auth.p к такому типу атак:, Larrikin 15.03.2007 18:35
- Надуманно, Sanja v.2 [M] 15.03.2007 19:07
  - Ответ, Марат 22.03.2007 10:16
    - элементарно, Misha v.3 [M] 22.03.2007 11:45 / 22.03.2007 11:49
  - +1 (-), Marat Suponitsky 15.03.2007 20:47 / 15.03.2007 20:48
- А при чем тут auth.p ? (-), redactor [M] 15.03.2007 19:02

Новости	FAQ	Авторы	Документация	В действии	Библиотека
Инструменты	Полезные ссылки	Хостинги	Скачать	Примеры	Форум