Я улучшаю устаревшую систему (которую я не помогал строить) и хотел бы узнать от других людей, если некоторые вещи, которые я заметил, являются законными проблемами безопасности или нет.Неужели это использование скрытых полей небезопасно?
Прежде всего, приложение защищено с помощью логина. Однако, как только пользователь вошел в систему, во всем приложении есть 11 страниц, в которых скрытое поле сохраняет значение имени файла, а также путь для загрузки.
Javascript используется для автоматической отправки формы и пользователя, а затем загрузка и сохранение файла на его или ее компьютере. Я думаю, что это значение может быть изменено, и пользователь будет бессознательно загружать вредоносный файл.
Кроме того, существует множество страниц, на которых ссылается страница, сохраненная в скрытом поле, чтобы пользователь мог вернуться на предыдущую страницу при сохранении формы. Если это законные проблемы, как это? Как они будут атакованы, если это возможно? Каков уровень риска или потенциального воздействия? Причина, по которой я спрашиваю, заключается в том, что я могу выдвинуть аргумент, что приложение должно быть исправлено, если это так. Просто сказать, что «это не лучшая практика» - это просто не достаточно хорошая причина.
Благодарим Вас за отзыв!
Этот вопрос, вероятно, лучше подходит для [Security.StackExchange.com] (http://security.stackexchange.com) – serk
Первое звучит очень похоже на LFI мне (очень опасно, возможно, кто-то может загрузить данные доступа к базе данных , например, или в основном любой файл, который он хочет). Просто попробуйте, что произойдет, если вы поместите в это поле что-то вроде '../../../../../ etc/passwd'.Вторая (предыдущая страница) не слишком опасна для меня, если значение не может каким-либо образом манипулировать с помощью параметра GET или чего-то еще, и в этом случае это проблема с внедрением XSS/HTML. –
Отличная точка, Никлас. Большое спасибо за отзывы, я определенно буду больше расследовать это! Серк, я даже не понял, что есть специальные разделы для различных тем. Я буду помнить это о будущем. Благодарю. –