Utility
Home Messaggi odierni FAQ Ricerca avanzata Lo staff del forum Regolamento Utenti Archivio
Visualizzazione dei risultati da 1 a 8 su 8

Hybrid View

  1. 07-02-2014, 04:42 #1
    SimoX90
    SimoX90 non è in linea
    Utente di HTML.it
    Registrato dal
    Dec 2013
    Messaggi
    228
    Come spesso succede in questi casi, "form tampering" non indica un'unica tecnica, ma piuttosto tutto un insieme di metodi per ottenere dati che non si dovrebbero ottenere.
    In generale, il form tampering prevede la manipolazione (es. via javascript dalla console) dei campi input, button, ecc. per far fare al programma ciò che si desidera.

    Le due "tecniche" principali sono:
    -l'utilizzo degli input hidden già presenti per arrivare a ottenere dati (hidden field manipulation)
    http://www.dummies.com/how-to/conten...plication.html (l'esempio del prezzo che viene modificato è molto chiarificatore, si capisce cosa è sicuro salvare nei campi hidden e cosa no)

    -una falla di html5, che non ho capito appieno perché il materiale è pochissimo, riassumo e spero che qualcuno possa essere più chiaro. (Giusto un appunto, ma non dice molto: http://lists.w3.org/Archives/Public/...1Aug/0033.html)
    In html5 è permesso (???) inserire pulsanti button fuori dal form di riferimento (???), e quindi si possono "deviare" i dati verso una action diversa da quella del form.

    Qui altro materiale interessante anche se non aggiornatissimo (valido per html4):
    http://www.slideshare.net/guestc27cd9/form-tampering
    Rispondi quotando Rispondi quotando
  2. 07-02-2014, 15:11 #2
    andreto
    andreto non è in linea
    Utente di HTML.it L'avatar di andreto
    Registrato dal
    Dec 2012
    Messaggi
    127
    Quote Originariamente inviata da SimoX90 Visualizza il messaggio
    Come spesso succede in questi casi, "form tampering" non indica un'unica tecnica, ma piuttosto tutto un insieme di metodi per ottenere dati che non si dovrebbero ottenere.
    In generale, il form tampering prevede la manipolazione (es. via javascript dalla console) dei campi input, button, ecc. per far fare al programma ciò che si desidera.

    Le due "tecniche" principali sono:
    -l'utilizzo degli input hidden già presenti per arrivare a ottenere dati (hidden field manipulation)
    http://www.dummies.com/how-to/content/hidden-field-manipulation-hacks-in-web-application.html (l'esempio del prezzo che viene modificato è molto chiarificatore, si capisce cosa è sicuro salvare nei campi hidden e cosa no)

    -una falla di html5, che non ho capito appieno perché il materiale è pochissimo, riassumo e spero che qualcuno possa essere più chiaro. (Giusto un appunto, ma non dice molto: http://lists.w3.org/Archives/Public/public-html-comments/2011Aug/0033.html)
    In html5 è permesso (???) inserire pulsanti button fuori dal form di riferimento (???), e quindi si possono "deviare" i dati verso una action diversa da quella del form.

    Qui altro materiale interessante anche se non aggiornatissimo (valido per html4):
    http://www.slideshare.net/guestc27cd9/form-tampering
    Il PRIMO l'ho capito, il SECONDO no.

    Quindi se nel sito non sono presenti campi input hidden non devo tenerne conto del form tampering?
    Qualcuno sa spiegarmi cosa potrebbe succedere spostando un bottone fuori dal form nell'HTML?

    Grazie
    Rispondi quotando Rispondi quotando
« Discussione precedente | Prossima discussione »

Permessi di invio

  • Non puoi inserire discussioni
  • Non puoi inserire repliche
  • Non puoi inserire allegati
  • Non puoi modificare i tuoi messaggi
  •  

Regole del Forum

Powered by vBulletin® Version 4.2.1
Copyright © 2025 vBulletin Solutions, Inc. All rights reserved.