Utility
Home Messaggi odierni FAQ Ricerca avanzata Lo staff del forum Regolamento Utenti Archivio
Visualizzazione dei risultati da 1 a 4 su 4
  1. 10-04-2012, 14:26 #1
    trippacchiello
    trippacchiello non è in linea
    Utente di HTML.it L'avatar di trippacchiello
    Registrato dal
    Nov 2007
    Messaggi
    1,420

    passare ad una pagina usando $_GET['variabile'] è piu' vulnerabile che con il POST?

    Non ho ben capito se usando get invece di post la programmazione è piu' vulnerabile ad attacchi hacker o meno.
    Attualmente faccio uscire dei link che mi portano ai dettagli di alcuni pacchetti e li faccio usando link tipo www.miosito.it/pacchetto.php?id_pacchetto=1 oppure 2,3,4 ecc
    In questo modo posso avere sicurezza che un hacker non viene a rompere o conviene usare post?
    Pero' usando post poi devo usare per forza un modulo, no?
    Mai dire Mai
    Rispondi quotando Rispondi quotando
  2. 10-04-2012, 15:57 #2
    _debo
    _debo non è in linea
    Utente di HTML.it L'avatar di _debo
    Registrato dal
    Mar 2012
    residenza
    London, UK
    Messaggi
    858
    La risposta corretta è che sono entrambi equamente vulnerabili dal punto di vista del code injection il tutto dipende da che dati stai passando, da quanto sono sensibili, da che tipo di operazione stai eseguendo e così via.

    L'unica reale vulnerabilità che vedo nel tuo caso basandomi sulle informazioni che hai dato, è che un attacker può lanciarti uno script che itera sui potenziali id pacchetto scaricandoli tutti in modo automatico senza nemmeno dover cliccare con potenziale sovraccarico del server e possibile conseguente DoS.

    Tieni presente che la vulnerabilità non è dettata dall'uso di get o post in questo caso ma dal fatto che un pacchetto ha un id progressivo invece che un hash
    Rispondi quotando Rispondi quotando
  3. 10-04-2012, 16:10 #3
    trippacchiello
    trippacchiello non è in linea
    Utente di HTML.it L'avatar di trippacchiello
    Registrato dal
    Nov 2007
    Messaggi
    1,420
    Originariamente inviato da _debo
    La risposta corretta è che sono entrambi equamente vulnerabili dal punto di vista del code injection il tutto dipende da che dati stai passando, da quanto sono sensibili, da che tipo di operazione stai eseguendo e così via.

    L'unica reale vulnerabilità che vedo nel tuo caso basandomi sulle informazioni che hai dato, è che un attacker può lanciarti uno script che itera sui potenziali id pacchetto scaricandoli tutti in modo automatico senza nemmeno dover cliccare con potenziale sovraccarico del server e possibile conseguente DoS.

    Tieni presente che la vulnerabilità non è dettata dall'uso di get o post in questo caso ma dal fatto che un pacchetto ha un id progressivo invece che un hash
    scusa l'ignoranza, che intendi per hash? cmq si, ogni pacchetto ha un id progressivo
    Mai dire Mai
    Rispondi quotando Rispondi quotando
  4. 10-04-2012, 16:17 #4
    _debo
    _debo non è in linea
    Utente di HTML.it L'avatar di _debo
    Registrato dal
    Mar 2012
    residenza
    London, UK
    Messaggi
    858
    Per esempio anziché usare un id progressivo puoi usare qualcosa tipo la funziona md5:

    http://uk.php.net/manual/en/function.md5.php

    Per crearti un codice univoco per quel specifico pacchetto.
    Rispondi quotando Rispondi quotando
« Discussione precedente | Prossima discussione »

Permessi di invio

  • Non puoi inserire discussioni
  • Non puoi inserire repliche
  • Non puoi inserire allegati
  • Non puoi modificare i tuoi messaggi
  •  

Regole del Forum

Powered by vBulletin® Version 4.2.1
Copyright © 2025 vBulletin Solutions, Inc. All rights reserved.