Comments on: Form 的安全性問題 http://blog.gslin.org/archives/2007/08/11/1267/ 幹壞事是進步最大的原動力 Fri, 05 Sep 2008 11:32:21 +0000 http://wordpress.org/?v=2.6.1 By: Buganini http://blog.gslin.org/archives/2007/08/11/1267/#comment-244074 Buganini Sat, 13 Oct 2007 03:05:04 +0000 http://blog.gslin.org/archives/2007/08/11/1267/#comment-244074 那如果在form page裡面加javascript 讓他把自己擺到_top 這樣能不能解決? 這實在是太可怕啦~~ 那如果在form page裡面加javascript
讓他把自己擺到_top
這樣能不能解決?

這實在是太可怕啦~~

]]> By: Kuon http://blog.gslin.org/archives/2007/08/11/1267/#comment-243253 Kuon Thu, 04 Oct 2007 02:37:26 +0000 http://blog.gslin.org/archives/2007/08/11/1267/#comment-243253 基本上, CSRF 的利用一定都是針對特定 Web App 的 Target Attack, 所以 Hidden Value 的值仍可能在 CSRF Code 裡面實作並解析 Hidden Value (利用 iframe) 並模擬含Hidden Value格式來發送 Request. 基本上, CSRF 的利用一定都是針對特定 Web App 的 Target Attack, 所以 Hidden Value 的值仍可能在 CSRF Code 裡面實作並解析 Hidden Value (利用 iframe) 並模擬含Hidden Value格式來發送 Request.

]]> By: Gea-Suan Lin http://blog.gslin.org/archives/2007/08/11/1267/#comment-238985 Gea-Suan Lin Sun, 19 Aug 2007 08:24:21 +0000 http://blog.gslin.org/archives/2007/08/11/1267/#comment-238985 不行,因為現在愈來愈多 firewall 會過濾 Referer 送出。 不行,因為現在愈來愈多 firewall 會過濾 Referer 送出。

]]> By: in2 http://blog.gslin.org/archives/2007/08/11/1267/#comment-238952 in2 Sun, 19 Aug 2007 03:54:17 +0000 http://blog.gslin.org/archives/2007/08/11/1267/#comment-238952 如果有分某一長相的 url 全部是 update 的動作的話, 直接從 web server 上對那一區 check referer 也許是最快的做法? :Q 如果有分某一長相的 url 全部是 update 的動作的話, 直接從 web server 上對那一區 check referer 也許是最快的做法? :Q

]]> By: wildcat http://blog.gslin.org/archives/2007/08/11/1267/#comment-238735 wildcat Thu, 16 Aug 2007 08:31:47 +0000 http://blog.gslin.org/archives/2007/08/11/1267/#comment-238735 dingding.example.org 還真是非常鮮明的實例啊 XD dingding.example.org 還真是非常鮮明的實例啊 XD

]]> By: Kuon http://blog.gslin.org/archives/2007/08/11/1267/#comment-238683 Kuon Wed, 15 Aug 2007 13:57:38 +0000 http://blog.gslin.org/archives/2007/08/11/1267/#comment-238683 CSRF/XSRF:) CSRF/XSRF:)

]]>