Jeg har snakka såvidt om csrf tidligere. Og nå skal jeg vise dere hvordan forhindre slik uønsket aktivitet med engangstokens.
Først skal jeg komme med et eksempel script, som viser hvorfor engangstokens er nødvendig.
<form action="slett.php" method="GET">
<p>Hvilken bruker skal vi slette?: <input type="text" name="bruker" /></p>
<p><input type="submit" value="Slett" /></p>
</form>;
Og her er slett.php:
$bruker = $_GET['bruker'];
slettBruker($bruker);
For å slette brukeren [...]
Written on February 25, 2009 | Posted in
Deilige tekster |
18 Comments
På mange skoler og arbeidsplasser er ofte nettsteder som nettby.no, facebook.com, blink.no og slike blokkert. Tenkte jeg skulle sette opp en online proxy, slik at du via dette nettstedet, kan surfe på disse blokkerte sidene.
Det vil riktignok gå bittelitt tregere, men det er da bedre enn ingenting?
For å surfe på blokkert sider, benytt gjerne denne [...]
Written on February 25, 2009 | Posted in
PHP |
13 Comments
UPDATE: norbits var raskt ute på banen med å sørge for at en blank referrer ikke fikk lov til å logge på.
NorBits er en norsk Bittorrent-tracker og et undergrunnsnettverk som ble starta opp september 2005, angivelig som en oppfølger til nedlagte TorrentPunks.
Trackeren er privat, og det trengs derfor en invitasjon for å bli medlem – [...]
Written on February 18, 2009 | Posted in
Tankevekkere,
csrf,
javascript,
xss |
16 Comments
UPDATE: Det ser ut til at google har beskyttelse mot dette, og at det bare funket hos meg siden jeg brukte min token ved urlen som endrer språket.
Vi starter friskt med å endre litt på google.no.
Gå å sjekk selv.
Som du ser er knappene endret til 1337 språket, likeledes med lenkene på siden. Hvordan klarte [...]
Written on February 16, 2009 | Posted in
PHP,
Passord,
Tankevekkere,
csrf |
16 Comments
Written on February 13, 2009 | Posted in
Uncategorized |
Comments Off
Jeg ønsker at internett skal være et trygt sted å ferdes på. Og prøver å hjelpe så mange som mulig til å gjøre dette på. Blant annet gjennom tips til hvordan skrive sikre nettapplikasjoner. Likeledes bør man også passe på hvilke nettsteder man surfer på. Fordi det er nemlig nok å bare surfe [...]
Written on February 11, 2009 | Posted in
PHP,
csrf,
xss,
Økonomisk vinning |
9 Comments
De fleste internettbrukere, bruker enkle passord. Jeg har selv gått i fella av bruke enkle passord. Og kanskje verre, brukt samme passord flere steder. Altså, hvordan i allverden skal man huske på passordet sitt, om man ikke bruker noe som kan huskes? Hvem klarer vel å huske på “s1f0k2s95g”?
Jeg gjør ikke det.
Her er noen [...]
Written on February 9, 2009 | Posted in
PHP,
Passord,
Økonomisk vinning |
16 Comments
Har i det siste skrevet om hvordan hacke ett nettsted med xss. Og også om hvorfor internett er broken. Og nå skal jeg fortelle deg som utvikler hvordan man forhindrer cross site scripting(XSS).
Written on February 7, 2009 | Posted in
PHP,
Uncategorized,
csrf,
javascript,
xss |
1 Comment
Det anbefales å lese først del 1 av serien før du begir deg ut med denne teksten.
I del 1 kom jeg med en introduksjon til hva xss er. Det handler altså om å få kjørt javascript hos nettleseren til offeret ditt, i det aktuelle domenet sin kontekst. Med det menes det at det hjelper ikke [...]
