server در خواست کننده

[hamid67fathi]

سلام
ميخواستم بدونم چطور ميشه فهميد درخاستی که به صورت GET يا POST ارسال شده از روی server خودم هست يا نه !!

 

[k2-4u]

با استفاده از متغییر زیر می توامید بفهمید که
کاربر از چه آدرسی آمده است

$_server['http_referer'];

که این آدرس رو میشه با طرفندی عوض کرد

اگر راحی رو می خواهید که مطمئن باشه و نشه
شبیح سازی کردن متاسفانه باید بگم هیچ راحی نیست

http_referer رو با حروف بزرگ بنویسید نمی دونم چرا اینجا اینطوری شد

 

[foranyone]

با :

$_server['http_referer'];

میشه فهمید کاربر از کجا اومده ! متغیر رو نمیشه فهمید ،

یه راه حل اینه که بیبنی همه ی اونایی که باید پست میشدن رسیدن یا نه ؟

مثلا موقع سابمیت فرم یه عدد بفرست که مثلا به 101 قابل تقسیم باشه

اینو تست کن ، اگه رسیده باشه از سرور خودت پست شده و گرنه از یه هاست دیگه !

 

[k2-4u]

با :

$_server['http_referer'];

میشه فهمید کاربر از کجا اومده ! متغیر رو نمیشه فهمید ،

یه راه حل اینه که بیبنی همه ی اونایی که باید پست میشدن رسیدن یا نه ؟

مثلا موقع سابمیت فرم یه عدد بفرست که مثلا به 101 قابل تقسیم باشه

اینو تست کن ، اگه رسیده باشه از سرور خودت پست شده و گرنه از یه هاست دیگه !

حمید . با کمال ناراحتی باید بگم که
هیچ راحی نداره .
فقط یک را وجود داره . که اونم فقط باعث میشه
بفهمیم کاربر . انسانه نه ماشین اونم که می دونی capcha است

 

[foranyone]

حمید . با کمال ناراحتی باید بگم که
هیچ راحی نداره .
فقط یک را وجود داره . که اونم فقط باعث میشه
بفهمیم کاربر . انسانه نه ماشین اونم که می دونی capcha است

آره درسته ما هم سعی داریم با یه ترفندهایی جلوی این کار رو تا حدی بگیریم نه کامل !

captcha هم 100% تضمین نمیکنه از دست این روسی ها

ولی روشی که بالا گفتم به نظرت جواب نمیده که بفهمیم از یه سرور دیگه اطلاعات به سرور ما پست شده یا

یه سرور دیگه ؟

 

[k2-4u]

آره درسته ما هم سعی داریم با یه ترفندهایی جلوی این کار رو تا حدی بگیریم نه کامل !

captcha هم 100% تضمین نمیکنه از دست این روسی ها

ولی روشی که بالا گفتم به نظرت جواب نمیده که بفهمیم از یه سرور دیگه اطلاعات به سرور ما پست شده یا

یه سرور دیگه ؟

یه مدت بود روی نظر بدهید بلاگفا گیر دادم (دیدی کد امنیتی گذاشته )
همه این کارا رو انجام داد ولی راحت بدون هیچ دردسری قابل عبور بود
تا اینکه یه کد امنیتی آبی رنگ گذاشت . و چون خیلی ساختار ساده داشت
(این دفعه کمی سخت !! ) ازش عبور کردم .


برنامه های هست مثل HttpWatch که وقتی وارد یک سایت میشی
میگذاری روشن . سپس چند بار یک عمل رو انجام میدی بعد به راحتی مشخص میشه
چه اتفاق های افتاده
نتها راحش ساخت کد امنیتی خوب است ؟!؟!

آره از دست این روس ها ولی خیلی از کد های امنیتی
نیازی به روسا ندارند .

 

[foranyone]

برنامه های هست مثل HttpWatch که وقتی وارد یک سایت میشی
میگذاری روشن . سپس چند بار یک عمل رو انجام میدی بعد به راحتی مشخص میشه
چه اتفاق های افتاده

میشه بیشتر توضیح بدی ؟

 

[hamid67fathi]

سلام
ممنون که راهنمای ميکنيد.
هدف کلی من جلوگيری از ارسال درخاست های زياد از server های ديگست .
برنامه من به صورت AJAX هست و درخواست داخل يک فايل JS هست ذخيره شده.
درواقع همون رشته ايی که بالای صفحه در ادامه نام سايت نوشته ميشه.
من به صورت پست درخواست رو ميفرستم ، ولی اگه کسی اين فايل js رو ببينه خيلی راحت ميتونه از يه جای
ديگه درخواست بده و ديتا بگيره .
چطور ميشه از اين کار جلو گيری کرد ؟

 

[k2-4u]

میشه بیشتر توضیح بدی ؟

یک روز میشینیم مفصل در موردش حرف میزنیم (یه تاپیک می زنم )


هیچ کاریش نمیشه کرد .
ولی میشه از سو استفاده تا حدودی جلو گیری کرد

با تابع sleep() . در اجرای اسکریپ تاخیر بنداز . شما می تونی بین 2 تا 5 ثانیه
در اجرای اسکریپ تاخیر بندازی . و به کاربر هم بگی لطفا چند ثانیه صبر کنه
این باعث میشه کرک غیر ممکن شه . چون کارو کند می کنه

و بعد از روی ip تعداد درخواست ها رو محدود کنی مثلا اگر یه ip بیشتر از 50 تا در خواست
کرد بسته شه . و سایت براش باز نشه

 

[foranyone]

سلام
ممنون که راهنمای ميکنيد.
هدف کلی من جلوگيری از ارسال درخاست های زياد از server های ديگست .
برنامه من به صورت AJAX هست و درخواست داخل يک فايل JS هست ذخيره شده.
درواقع همون رشته ايی که بالای صفحه در ادامه نام سايت نوشته ميشه.
من به صورت پست درخواست رو ميفرستم ، ولی اگه کسی اين فايل js رو ببينه خيلی راحت ميتونه از يه جای
ديگه درخواست بده و ديتا بگيره .
چطور ميشه از اين کار جلو گيری کرد ؟

فکر میکنم بهترین راه حل فشرده سازی فایل js یا رمزنگاریش باشه که البته بازم میتونن به حالت اول برگردونن

فقط کارو یه کم سخت میکنه :-؟؟

 

[foranyone]

سلام
ممنون که راهنمای ميکنيد.
هدف کلی من جلوگيری از ارسال درخاست های زياد از server های ديگست .
برنامه من به صورت ajax هست و درخواست داخل يک فايل js هست ذخيره شده.
درواقع همون رشته ايی که بالای صفحه در ادامه نام سايت نوشته ميشه.
من به صورت پست درخواست رو ميفرستم ، ولی اگه کسی اين فايل js رو ببينه خيلی راحت ميتونه از يه جای
ديگه درخواست بده و ديتا بگيره .
چطور ميشه از اين کار جلو گيری کرد ؟

راه دیگه ای جز اونی که من گفتم نیست ؟

راستش منم همیشه از این موضوع نگرانم که سیستمم آسیب پذیر باشه !