它说它在我的网站上发现了几个问题,但我怀疑情况确实如此.
其中一个问题是:
The URL: 07001 is vulnerable to cross site request forgery. It allows the attacker to exchange the method from POST to GET when sending data to the server.
我很确定它不容易受到csrf攻击,因为我在我的表单中使用了crsf保护(带有令牌的字段被检查).
所以我想知道这条消息是关于什么的:
It allows the attacker to exchange the method from POST to GET when sending data to the server.
我不在乎攻击者能否从POST切换到GET还是我?
如果我能这样做,请解释我为什么这样做?如何利用它?
在这种情况下,它可能会检查您是否使用了$_REQUEST而不是$_POST或$_GET,然后如果找到它则报告错误,无论您为确保这一点做出了哪些努力.
每个人都会以不同的方式编写代码,因此让软件了解代码的上下文将是一项了不起的成就,并且可能超出了这一范围的智能.这并不意味着对软件的攻击,但说实话,如果我想出一些可以理解别人代码的上下文和意图的程序,我不会在sourceforge上放弃它:p
有关系吗?也许取决于你获得网站的安全程度(见上面marc B的(1)评论).
– 编辑 –
通过使用$_REQUEST而不是指定$_POST或$_GET,您可以让自己对容易关闭的攻击区域保持开放.不仅如此,$_REQUEST还包括$_COOKIE.这已被覆盖here,而不是我复制别人的答案.
原文地址:https://www.jb51.cc/php/137370.html
版权声明:本文内容由互联网用户自发贡献,该文观点与技术仅代表作者本人。本站仅提供信息存储空间服务,不拥有所有权,不承担相关法律责任。如发现本站有涉嫌侵权/违法违规的内容, 请发送邮件至 dio@foxmail.com 举报,一经查实,本站将立刻删除。
