मान लें कि मेरे पास एक फार्म है और
कोई एक साइट के साथ किसी साइट को बनाने से यादृच्छिक पदों को हटाने की कोशिश कर सकता है:
& lt; form action = "http://mysite.com/action/delete_post.php 'विधि = "पोस्ट" & gt; ... & lt; / form & gt; और आईडी के पदों के साथ गुजरना वह हटाना चाहते हैं [केवल बुरा होने के मजा लेने के लिए या एक समवर्ती वेबसाइट को नुकसान पहुंचाए या जो कुछ भी हो)
आप अपनी प्रसंस्करण फाइलों को ऐसे लक्ष्यीकरण के रूप में लक्षित कर सकते हैं, तो क्या मुझे इस प्रकार की खतरों के विरुद्ध अपनी फ़ाइलों को सुरक्षित करने की आवश्यकता है?
> पीएस .: मैं
हाँ, इस तरह के हमले को एक क्रॉस-साइट कहा जाता है अनुरोध जालसाजी (सीएसआरएफ),
इस हमले को अवरुद्ध करने का एक आम तरीका एक छिपी हुई इनपुट को एक बेतरतीब ढंग से तैयार की गई टोकन (यहां तक कि md5 (microtime (true)) की तरह कुछ भी शामिल करना है < / कोड> पर्याप्त है)। उपयोगकर्ता के सत्र में हाल ही में मान्य फ़ॉर्म टोकन की सूची रखें, और एक बार उपयोग किए जाने के बाद उन्हें नष्ट कर दें (और केवल 5 या 10 को हाल ही में रखना)। उस क्रिया को पूर्ण न करें, अगर उपयोगकर्ता का कोई मान्य फ़ॉर्म टोकन नहीं है।
Comments
Post a Comment