|
|
|
Supreme Being
участник
Last Login: 15.12.2008 12:46
Сообщ.: 275,
Visits: 866
|
|
Здравствуйте!
Хочу спросить :)
Мои страницы принимают какие-то значения из адресной строки. Как можно определить, что там не были переданы вредоносные параметры? Ведь как-то можно передать параметры, которые испортят всю мою программу на ASP?
|
|
|
|
|
Supreme Being
модератор
Last Login: 24.08.2008 22:23
Сообщ.: 1 329,
Visits: 15 054
|
|
| Построй логику скрипта так, чтобы он выбирал тот или иной путь выполнения в зависимости от параметров, но не использовал сами параметры или использовал их минимально с проверкой на допустимые значения.
|
|
|
|
|
Supreme Being
модератор
Last Login: 04.05.2008 13:32
Сообщ.: 7 240,
Visits: 65 445
|
|
| Проверяй допустимость значения каждого параметра приводя их к безапасному виду, а неправильные значения игнорируй подставляя вместо них значения по умолчанию или выдавай соощение об ошибке. К примеру, если параметр это число, то приводи его к целому типу и если нужно проверяй что он входит в ожидаемый диапазон. Если это строка, то можно проверять наличие запрещеных символов (с помощью регулярных выражений), а также максимальную длину. Параметры которые ты не читаешь и не используешь принести вред твоему скрипту не могут. Кроме того многое зависит от того как ты используешь значения этого параметра. Если выводишь на страницу, то возможно сущестование XSS уязвимости, используеьш в sql запросе - sql injection уязвимость. И т.д.
|
|
|
|
|
Supreme Being
участник
Last Login: 04.05.2007 14:51
Сообщ.: 124,
Visits: 1 270
|
|
| Один из методов хакеров: С помощью параметров пытаются задать такую комбинацию, которая может привести к изменению SQL-запроса. Чтобы, например, спровоцировать ошибку. Если обработчик ошибки стандартный, то по генерируемому сообщению можно получить некоторую информацию об организации сайта и в дальнейшем использовать её для взлома. Реально 2 раза сам наблюдал такие попытки завалить сайты. Защита актуальна и когда вы не хотите чтобы спам-роботы заполняли формы на Ваших сайтах.
|
|
|
|