Comments on: Form 的安全性問題 http://blog.gslin.org/archives/2007/08/11/1267/form-%e7%9a%84%e5%ae%89%e5%85%a8%e6%80%a7%e5%95%8f%e9%a1%8c/ 幹壞事是進步最大的原動力 Wed, 23 May 2012 00:45:00 +0000 hourly 1 http://wordpress.org/?v=3.3.2 By: PHP SQL Injection 和 XSS 的偵測程式 和 程式撰寫注意事項 - 2008 | 鬼仔's Bloghttp://blog.gslin.org/archives/2007/08/11/1267/form-%e7%9a%84%e5%ae%89%e5%85%a8%e6%80%a7%e5%95%8f%e9%a1%8c/comment-page-1/#comment-285791 PHP SQL Injection 和 XSS 的偵測程式 和 程式撰寫注意事項 - 2008 | 鬼仔's Blog Thu, 16 Oct 2008 05:22:30 +0000 http://blog.gslin.org/archives/2007/08/11/1267/#comment-285791 [...] Form 的安全性問題 [...] [...] Form 的安全性問題 [...]

]]> By: Buganinihttp://blog.gslin.org/archives/2007/08/11/1267/form-%e7%9a%84%e5%ae%89%e5%85%a8%e6%80%a7%e5%95%8f%e9%a1%8c/comment-page-1/#comment-244074 Buganini Sat, 13 Oct 2007 03:05:04 +0000 http://blog.gslin.org/archives/2007/08/11/1267/#comment-244074 那如果在form page裡面加javascript 讓他把自己擺到_top 這樣能不能解決?這實在是太可怕啦~~ 那如果在form page裡面加javascript
讓他把自己擺到_top
這樣能不能解決?

這實在是太可怕啦~~

]]> By: Kuonhttp://blog.gslin.org/archives/2007/08/11/1267/form-%e7%9a%84%e5%ae%89%e5%85%a8%e6%80%a7%e5%95%8f%e9%a1%8c/comment-page-1/#comment-243253 Kuon Thu, 04 Oct 2007 02:37:26 +0000 http://blog.gslin.org/archives/2007/08/11/1267/#comment-243253 基本上, CSRF 的利用一定都是針對特定 Web App 的 Target Attack, 所以 Hidden Value 的值仍可能在 CSRF Code 裡面實作並解析 Hidden Value (利用 iframe) 並模擬含Hidden Value格式來發送 Request. 基本上, CSRF 的利用一定都是針對特定 Web App 的 Target Attack, 所以 Hidden Value 的值仍可能在 CSRF Code 裡面實作並解析 Hidden Value (利用 iframe) 並模擬含Hidden Value格式來發送 Request.

]]> By: Gea-Suan Linhttp://blog.gslin.org/archives/2007/08/11/1267/form-%e7%9a%84%e5%ae%89%e5%85%a8%e6%80%a7%e5%95%8f%e9%a1%8c/comment-page-1/#comment-238985 Gea-Suan Lin Sun, 19 Aug 2007 08:24:21 +0000 http://blog.gslin.org/archives/2007/08/11/1267/#comment-238985 不行,因為現在愈來愈多 firewall 會過濾 Referer 送出。 不行,因為現在愈來愈多 firewall 會過濾 Referer 送出。

]]> By: in2http://blog.gslin.org/archives/2007/08/11/1267/form-%e7%9a%84%e5%ae%89%e5%85%a8%e6%80%a7%e5%95%8f%e9%a1%8c/comment-page-1/#comment-238952 in2 Sun, 19 Aug 2007 03:54:17 +0000 http://blog.gslin.org/archives/2007/08/11/1267/#comment-238952 如果有分某一長相的 url 全部是 update 的動作的話, 直接從 web server 上對那一區 check referer 也許是最快的做法? :Q 如果有分某一長相的 url 全部是 update 的動作的話, 直接從 web server 上對那一區 check referer 也許是最快的做法? :Q

]]> By: wildcathttp://blog.gslin.org/archives/2007/08/11/1267/form-%e7%9a%84%e5%ae%89%e5%85%a8%e6%80%a7%e5%95%8f%e9%a1%8c/comment-page-1/#comment-238735 wildcat Thu, 16 Aug 2007 08:31:47 +0000 http://blog.gslin.org/archives/2007/08/11/1267/#comment-238735 dingding.example.org 還真是非常鮮明的實例啊 XD dingding.example.org 還真是非常鮮明的實例啊 XD

]]> By: Kuonhttp://blog.gslin.org/archives/2007/08/11/1267/form-%e7%9a%84%e5%ae%89%e5%85%a8%e6%80%a7%e5%95%8f%e9%a1%8c/comment-page-1/#comment-238683 Kuon Wed, 15 Aug 2007 13:57:38 +0000 http://blog.gslin.org/archives/2007/08/11/1267/#comment-238683 CSRF/XSRF:) CSRF/XSRF:)

]]>