w*s 发帖数: 7227 | 1 【 以下文字转载自 Linux 讨论区 】
发信人: wds (净洗前尘,从头再来), 信区: Linux
标 题: how to avoid security holes for perl CGI code using checkbox ?
发信站: BBS 未名空间站 (Thu Apr 18 19:01:05 2013, 美东)
Don't know how to describe this clearly,
i have a simple perl CGI code, running with lighttpd.
it has checkbox, if it's set, when you click "submit".
it will trigger my code in the background,
`set_my_value.exe 1`.
if no check that checkbox,
`set_my_value.exe 0`.
Now when i run Rapid7 nexpose, which is a security check applicatio... 阅读全帖 |
|
w*s 发帖数: 7227 | 2 【 以下文字转载自 Linux 讨论区 】
发信人: wds (净洗前尘,从头再来), 信区: Linux
标 题: how to avoid security holes for perl CGI code using checkbox ?
发信站: BBS 未名空间站 (Thu Apr 18 19:01:05 2013, 美东)
Don't know how to describe this clearly,
i have a simple perl CGI code, running with lighttpd.
it has checkbox, if it's set, when you click "submit".
it will trigger my code in the background,
`set_my_value.exe 1`.
if no check that checkbox,
`set_my_value.exe 0`.
Now when i run Rapid7 nexpose, which is a security check applicatio... 阅读全帖 |
|
|
|
a9 发帖数: 21638 | 5 能用中文说一遍吗?
不太理解你在说什么,到底是安全问题,还是提交不成功? |
|
w*s 发帖数: 7227 | 6 网页打开都没问题,你点个checkbox,然后按submit,
后台就把用一个小程序把debug_level turn on.
如果uncheck,再submit, debug level就off。很简单的CGI。
但用上述的那个web security application来攻击我的网页,
很容易就把我的debug level改来改去。
我估计就是从网页的源程序看见有这个checkbox,然后模拟把check或者uncheck往web
server上送。
server分不清是不是用户从网页上click的,于是也傻呼呼地执行了。
当然是我傻。
但不知道怎么改。有劳大侠了。 |
|
a9 发帖数: 21638 | 7 哦。你可以弄断js算个数,服务器端知道结果。这种攻击软件不一定会计算js
比较可靠的当然是登录后才允许搞。
web |
|
w*s 发帖数: 7227 | 8 对js不熟,javascript的code还是会在网页上显示的吧?
只要显示那程序不会摸进来? |
|
l*********s 发帖数: 5409 | 9 ask user to authenticate first such as
typing the text in a image.
web |
|
a9 发帖数: 21638 | 10 不知道那个程序会不会。要想保证不会被攻击,基本只有登录这一条路。
楼上说的验证码一样不靠谱。都是防君子不防小人的招儿。 |
|
l*********s 发帖数: 5409 | 11 要把ocr搞的和人一样准可不容易,我不觉得黑客程序有这么高级的功能 |
|
g*****g 发帖数: 34805 | 12 不自动攻击,手工攻击不行吗?想要不让别人访问,登录是必须的。 |
|
w*s 发帖数: 7227 | 13 大牛,公司里的测试要求,通不过没法release ... |
|
|
l*********s 发帖数: 5409 | 15 手工搞一分钟能攻击几次?黑客也不是无聊到这种地步 |
|
g*****g 发帖数: 34805 | 16 这个算什么攻击,这就是open site,open site你能做的操作别人自然也能做。
问题是你又不想别人做。captcha什么的显然没用。 |
|
l*********s 发帖数: 5409 | 17 这种情况当然是必须是登录了,不过楼主既然没提,我觉得这说明他的user case没有
这种需求 |
|
w*s 发帖数: 7227 | 18 actually i added this check when i see submit action,
unless ($ENV{REQUEST_METHOD} eq "POST")
{
error($q1, "invalid request method");
}
seems helping a lot. |
|