X-Received: by 10.107.10.15 with SMTP id u15mr18379222ioi.22.1443427566964; Mon, 28 Sep 2015 01:06:06 -0700 (PDT)
X-Received: by 10.50.92.7 with SMTP id ci7mr130284igb.4.1443427566947; Mon, 28 Sep 2015 01:06:06 -0700 (PDT)
Path: csiph.com!optima2.xanadu-bbs.net!xanadu-bbs.net!news.glorb.com!kq10no12232529igb.0!news-out.google.com!n2ni14297igy.0!nntp.google.com!kq10no12026658igb.0!postnews.google.com!glegroupsg2000goo.googlegroups.com!not-for-mail
Newsgroups: pl.comp.lang.php
Date: Mon, 28 Sep 2015 01:06:06 -0700 (PDT)
In-Reply-To: <1d538c8e-831f-4ed7-8c15-81e8738fbe68@googlegroups.com>
Complaints-To: groups-abuse@google.com
Injection-Info: glegroupsg2000goo.googlegroups.com; posting-host=89.25.186.109; posting-account=E-z6ZwoAAACYsJZxZNjBCrM3zzyF6Vo_
NNTP-Posting-Host: 89.25.186.109
References: <1d538c8e-831f-4ed7-8c15-81e8738fbe68@googlegroups.com>
User-Agent: G2/1.0
MIME-Version: 1.0
Message-ID: <8345c6da-d7e3-4991-9b96-0595834876e0@googlegroups.com>
Subject: =?ISO-8859-2?Q?Re=3A_Jak_si=EA_zabezpieczy=E6_przed_skopiowaniem_url?=
From: mwitkowski2b@gmail.com
Injection-Date: Mon, 28 Sep 2015 08:06:06 +0000
Content-Type: text/plain; charset=ISO-8859-2
Content-Transfer-Encoding: quoted-printable
Xref: csiph.com pl.comp.lang.php:14911

Rozumiem, =BFe Pan Borys uwa=BFa wszystkich audytor=F3w pracuj=B1cych np. w=
 bankach za idiot=F3w, bo wi=EAkszo=B6=E6 bank=F3w stosuje tego typu zabezp=
ieczenie.

W ramach swojej strony nie przekazuj=EA id sesji w URL, wszystkie dane s=B1=
 przekazywane metoda POST i s=B1 odpowiednio walidowane.

Stosowanie identyfikatora w COOKIE, po pozytywnym logowaniu nie wystarcza.
Poni=BFej prosty przyk=B3ad na sprawdzenie tej tezy (plik index.php wywo=B3=
uje plik dwa.php):

[plik index.php]
<?php
// mo=BFe by=E6 np: uniqid(), ale chodzi tylko o sprawdzenie
// nastapi=B3o pozytywne logowanie wi=EAc ustawiam jaki=B6 identyfikator
$token =3D "12345";
setcookie("token", $token);
echo "Jestem w INDEX.PHP " . "<br>";
echo "Ustawiam cookie na " . $token . "<br>";
?>

<html>
<form action=3D"dwa.php" method=3D"POST">
<p>Test</p>
<input type=3D"submit" value=3D"DWA">=20
</form>
</html>

[plik dwa.php]
<?php
echo "Jestem w DWA.PHP " . "<br>";
$token =3D "";
$token =3D $_COOKIE["token"];
echo "czytam cookie =3D " . $token . "<br>";
?>
<html>
<a href=3D"index.php">Back</a>
<html>


Uruchamiamy plik index.php, wybieramy przycisk "DWA" pojawia si=EA zawarto=
=B6=E6 wygenerowana przez dwa.php. Teraz kopiujemy url do s=B1siedniej zak=
=B3adki i niestety
bez problemu da si=EA zobaczy=E6 efekt dzia=B3ania pliku dwa.php. Wi=EAc co=
okie nie wystarcza. Chyba, =BFe ja czego=B6 nie rozumiem?


Pozdrawiam
MW