Thread Mustererkennung bei Dancer2 und body_parameters (23 answers)
Opened by Max_Perlbeginner at 2016-04-23 14:10

Muffi
 2016-04-25 11:19
#184605 #184605
User since
2012-07-18
1465 Artikel
BenutzerIn
[default_avatar]
Als relativ einfache Möglichkeit kann man z.B. einen Teil der Session-ID benutzen.
Allerdings auch hier aufpassen: Das kann bei XSS-Lücken gefährlich werden.
Dann les ich dir z.B. mit JS dein Session-Cookie aus und setz einen gültigen POST ab.
Das kann man aber bei halbwegs modernen Browsern verhindern. Session-Cookies sollten grundsätzlich so gesetzt werden, dass sie durch JS nicht auslesbar sind.

edit: achja, zu dem $item nochmal. Ich benutzt mitten im Source grundsätzlich keine Parameter. Die werden ganz oben alle eingelesen und penibel durchgecheckt. Und das darf dann benutzt werden. Man kann sich natürlich auch was anderes überlegen oder das Framework selbst unterstützt da schon was intelligentes. Aber mit "Parameter einfach so benutzen" handelt man sich Sicherheitslücken schneller ein als einem lieb ist.
Last edited: 2016-04-25 11:29:43 +0200 (CEST)
1 + 1 = 10

View full thread Mustererkennung bei Dancer2 und body_parameters