Ciao ragazzi,
esistono altri metodi per effettuare javascript injection che non siano
- incollare codice nella barra degli indirizzi
- scrivere nei form o in campi lasciati aperti in una pagina codice maligno <script>...</script>
che voi sappiate?
Ciao ragazzi,
esistono altri metodi per effettuare javascript injection che non siano
- incollare codice nella barra degli indirizzi
- scrivere nei form o in campi lasciati aperti in una pagina codice maligno <script>...</script>
che voi sappiate?
No true, questa è un altra storia xD
Ho appurato che non posso far nulla per evitare la contaminazione dei dati che mi arrivano in ingresso sul server, quindi senti cosa mi sto inventando per non far sovrascrivere le mie funzioni:
- puoi accedere solo tramite i popup generati da me
- nei popup disabilito/nascondo la barra degli indirizzi
Se non ci sono altri modi per effettuare javascript injection ho fatto bingo.
(anche se so che cè qualcosa che non va altrimenti vincerei il nobel -_-)
a che pro quando posso reperire in altri modi l'indirizzo della pagina in cui mi mandi?Originariamente inviato da hysoka44
- nei popup disabilito/nascondo la barra degli indirizzi
Vuoi aiutare la riforestazione responsabile?
Iscriviti a Ecologi e inizia a rimuovere la tua impronta ecologica (30 alberi extra usando il referral)
hysoka44 stai facendo un sito per la nasa vero? o hai qualche hacker che ti ha preso di mira? ancora sta barra degli indirizzi... non accettare chiamate get te l'ho già dettofortuna che c'è true che ha una pazienza incredibile...
Si è vero, true ha una pazienza inverosimile ma credo che io lo stia innervosendo...
Ma non risolvo nulla non utilizzando get ma solo post: il tizio può sempre inviarmele in quel modo le informazioni!
Vi spiego la radice del male: il mio è un giochetto interattivo a cui partecipano contemporanemente da 2 a 6 persone.
Chi non è di turno sincronizza ciò che vede con cio che è presente sul db.
Chi è di turno sincronizza il db con ciò che fa.
Adesso: le scelte dell'utente sul piano di gioco sono una marea e la quantità di click anche, quindi è impensabile verificare lato server con un ajax tutte le azioni che compie e ad ognuna di queste sincronizzare il db, non mi bastano le sale ced della google e connessioni in fibra dirette con i giocatori.
Ergo devo affidarmi al javascript.
Ma se il tizio mi riscrive le funzioni e mi manda parametri a cui non è arrivato con la logica delle mie funzioni, seppur di sintassi corretta, mi sballa il db e decide a suo piacimento l'andamento del gioco!!
Immaginate di giocare a monopoli e ad un certo punto vedi d'improvviso uno dei giocatori che gli si moltiplicano le banconote da 50000 :|
Non è che sia impossibile farne tantissime, ma ci si deve arrivare con il normale andamento del gioco stesso!!!
Capito la mia difficile situazione?
Se apri la pagina direttamente, se vedo che non ha una data window.parent, ed inoltre non è presente una variabile di sessione che io genero all apertura dei popup e scrivo sul db, ti rimando da dove sei venuto :|Originariamente inviato da fcaldera
a che pro quando posso reperire in altri modi l'indirizzo della pagina in cui mi mandi?
No?
Ma comunque la barra la toglierei non per nascondere l'indirizzo, ma solo per evitare che incolli maledette funzioni javascript
Invece risolvi disabilitando la barra degli indirizzi? non lo vedi che è un controsenso... aprendo popup ti complichi solo la vita e non risolvi nulla, poi ci sono utenti che li bloccano, non seguire questa strada fidati... questa è la mia opinione, non sono certo un esperto in questo campo quindi lascio la parola agli altri... buona fortunaMa non risolvo nulla non utilizzando get ma solo post: il tizio può sempre inviarmele in quel modo le informazioni!
Mi sono letto i due thread e penso di aver capito il problema:
Qua non basta solo che i dati siano validi e che non mi corrompano il database, devono anche essere correttamente generati da persone umane in seguito a determinate azioni e tramite determinate logiche.
Non ho ben presente il tuo gioco, ne ho mai affrontato il problema, anche se affligge pure me, quindi ti dico ciò che mi è venuto in mente.
Immagino ti debbano arrivare una serie di variabili tramite post che tu elabori e poi aggiorni il db in base ai valori ottenuti.
Se per esempio ti aspetti un intero da 1 a 10 (mi rifaccio all'esempio che hai usato nell'altro thread), se i valori sono in chiaro, dopo che uno a capito che valori accetti, può simularti la richiesta e mandarti il valore che vuole.
Per evitarlo agirei così:
ogni valore possibile lo cripto (lato server) con un'algoritmo reversibile (as esempio AES) e includo nella criptatura anche un token di sessione.
I vari valori quindi li invio al client criptati, di modo che non veda il loro valore effettivo.
Quando mi ritornano indietro i valori li decripto per avere il valore originale e già che ci sono modifico il token di sessione.
Se il furbacchione vuole modificare il dato incontrerà i seguenti problemi:
1. non avrà davanti un bel numero intero facile facile da dover modificare, ma una stringa lunga parecchi caratteri e provando a modificarla difficilmente la trasformerà in un altro valore valido.
2. Nel frattempo il token di sessione è cambiato, quindi se la stringa corrispondeva ad esempio al valore 5, ora corrisponde a tutt'altro....
Non so quanto possa essere giusto questo suggerimento, dato che non so esattamente come si comporta il tuo gioco, ma questo è quello che mi è venuto in mente, fai tu se riesci ad adattarlo alla tua situazione.
La verita' è che... tu sei il debole, e io sono la tirannia degli uomini malvagi, ma ci sto provando ringo, ci sto provando con grandissima fatica a diventare il pastore..
Ritengo che una sola discussione sul tuo problema sia sufficiente
Il guaio per i poveri computers e' che sono gli uomini a comandarli.
Attenzione ai titoli delle discussioni: (ri)leggete il regolamento
Consultate la discussione in rilievo: script / discussioni utili
Usate la funzione di Ricerca del Forum
Permessi di invio
