PHP-Sicherheit – Formularübermittlung betrügen-PHP-Tutorial-php.cn

Inhaltsverzeichnis

Spoof-Formulareinreichung" >Spoof-Formulareinreichung

Heim

Backend-Entwicklung

PHP-Tutorial

PHP-Sicherheit – Formularübermittlung betrügen

黄舟

Feb 22, 2017 am 09:20 AM

Spoof-Formulareinreichung

Das Erstellen eines gefälschten Formulars ist fast so einfach wie das Fälschen einer URL. Schließlich handelt es sich bei der Formularübermittlung lediglich um eine HTTP-Anfrage des Browsers. Ein Teil des Formats der Anfrage hängt vom Formular ab und einige der Daten in der Anfrage stammen vom Benutzer.

Die meisten Formulare verwenden eine relative URL-Adresse, um das Aktionsattribut anzugeben:

  <form action="process.php"
method="POST">

Nach dem Login kopieren

Beim Absenden des Formulars fordert der Browser die in der Aktion angegebene URL an und verwendet die aktuelle URL-Adresse, um die relative URL zu finden. Wenn das vorherige Formular beispielsweise als Antwort auf eine Anfrage für http://www.php.cn/ generiert wurde, wird die URL-Adresse http://www.php.cn/ angefordert, nachdem der Benutzer das Formular abgeschickt hat.

Wenn man das weiß, kann man leicht denken, dass man eine absolute Adresse angeben kann, damit das Formular überall platziert werden kann :

<form
action="http://example.org/path/to/process.php" method="POST">

Nach dem Login kopieren

Dieses Formular kann überall platziert werden und die mit diesem Formular erstellten Eingaben sind dieselben wie die mit dem Originalformular erstellten. Wenn ein Angreifer dies erkennt, kann er die Quelldatei der Seite anzeigen und auf seinem Server speichern, während er die Aktion in eine absolute URL-Adresse ändert. Durch die Verwendung dieser Methoden kann ein Angreifer das Formular willkürlich ändern, z. B. durch Entfernen der maximalen Feldlängenbeschränkung, Entfernen des lokalen Validierungscodes, Ändern des Werts eines versteckten Felds oder Umschreiben des Elementtyps für flexiblere Zwecke. Diese Änderungen helfen einem Angreifer, beliebige Daten an den Server zu übermitteln, und da der Vorgang so einfach und unkompliziert ist, muss der Angreifer dafür kein Experte sein.

Angriffe mit gefälschten Formularen können nicht verhindert werden, und obwohl dies etwas seltsam erscheinen mag, ist es tatsächlich so. Aber Sie brauchen sich darüber keine Sorgen zu machen. Sobald Sie die Eingaben richtig gefiltert haben, müssen Benutzer Ihre Regeln befolgen, unabhängig davon, wie sie sie übermitteln.

Wenn Sie mit dieser Technik experimentieren, werden Sie möglicherweise feststellen, dass die meisten Browser eine Referrer-Nachricht in den HTTP-Header einfügen, um die Adresse der vorherigen Seite zu identifizieren. In diesem Beispiel ist der Referrer-Wert die URL-Adresse des Formulars. Bitte lassen Sie sich davon nicht täuschen und nutzen Sie es, um zwischen Ihren Formulareinsendungen und gefälschten Formulareinsendungen zu unterscheiden. In der Demonstration im nächsten Abschnitt können Sie sehen, dass HTTP-Header auch sehr einfach zu fälschen sind und die Methode zur Bestimmung mithilfe von Referrer bekannt ist.

Das Obige ist der Inhalt des PHP-Sicherheitstäuschungsformulars. Weitere verwandte Inhalte finden Sie auf der chinesischen PHP-Website (www.php.org). php.cn)!

Erklärung dieser Website

Der Inhalt dieses Artikels wird freiwillig von Internetnutzern beigesteuert und das Urheberrecht liegt beim ursprünglichen Autor. Diese Website übernimmt keine entsprechende rechtliche Verantwortung. Wenn Sie Inhalte finden, bei denen der Verdacht eines Plagiats oder einer Rechtsverletzung besteht, wenden Sie sich bitte an admin@php.cn

Heiße KI -Werkzeuge

Undresser.AI Undress

KI-gestützte App zum Erstellen realistischer Aktfotos

AI Clothes Remover

Online-KI-Tool zum Entfernen von Kleidung aus Fotos.

Undress AI Tool

Ausziehbilder kostenlos

Clothoff.io

KI-Kleiderentferner

Video Face Swap

Tauschen Sie Gesichter in jedem Video mühelos mit unserem völlig kostenlosen KI-Gesichtstausch-Tool aus!

Heißer Artikel

Assassin's Creed Shadows: Seashell Riddle -Lösung

3 Wochen vor By DDD

Was ist neu in Windows 11 KB5054979 und wie Sie Update -Probleme beheben

2 Wochen vor By DDD

Wo kann man die Kransteuerungsschlüsselkarten in Atomfall finden

3 Wochen vor By DDD

<🎜>: Dead Rails - wie man jede Herausforderung abschließt

4 Wochen vor By DDD

Atomfall Guide: Gegenstandsstandorte, Questführer und Tipps

4 Wochen vor By DDD

Heiße Werkzeuge

Notepad++7.3.1

Einfach zu bedienender und kostenloser Code-Editor

SublimeText3 chinesische Version

Chinesische Version, sehr einfach zu bedienen

Senden Sie Studio 13.0.1

Leistungsstarke integrierte PHP-Entwicklungsumgebung

Dreamweaver CS6

Visuelle Webentwicklungstools

SublimeText3 Mac-Version

Codebearbeitungssoftware auf Gottesniveau (SublimeText3)

Heiße Themen

Wo ist der Login-Zugang für Gmail-E-Mail?

7663

CakePHP-Tutorial

1393

C#-Tutorial

1205

Wie lautet das Format des Kontonamens von Steam?

Win11 -Aktivierungsschlüssel dauerhaft

Related knowledge

PHP 8.4 Installations- und Upgrade-Anleitung für Ubuntu und Debian Dec 24, 2024 pm 04:42 PM

PHP 8.4 bringt mehrere neue Funktionen, Sicherheitsverbesserungen und Leistungsverbesserungen mit einer beträchtlichen Menge an veralteten und entfernten Funktionen. In dieser Anleitung wird erklärt, wie Sie PHP 8.4 installieren oder auf PHP 8.4 auf Ubuntu, Debian oder deren Derivaten aktualisieren. Obwohl es möglich ist, PHP aus dem Quellcode zu kompilieren, ist die Installation aus einem APT-Repository wie unten erläutert oft schneller und sicherer, da diese Repositorys in Zukunft die neuesten Fehlerbehebungen und Sicherheitsupdates bereitstellen.

So richten Sie Visual Studio-Code (VS-Code) für die PHP-Entwicklung ein Dec 20, 2024 am 11:31 AM

Visual Studio Code, auch bekannt als VS Code, ist ein kostenloser Quellcode-Editor – oder eine integrierte Entwicklungsumgebung (IDE) –, die für alle gängigen Betriebssysteme verfügbar ist. Mit einer großen Sammlung von Erweiterungen für viele Programmiersprachen kann VS Code c

Erklären Sie JSON Web Tokens (JWT) und ihren Anwendungsfall in PHP -APIs. Apr 05, 2025 am 12:04 AM

JWT ist ein offener Standard, der auf JSON basiert und zur sicheren Übertragung von Informationen zwischen Parteien verwendet wird, hauptsächlich für die Identitätsauthentifizierung und den Informationsaustausch. 1. JWT besteht aus drei Teilen: Header, Nutzlast und Signatur. 2. Das Arbeitsprinzip von JWT enthält drei Schritte: Generierung von JWT, Überprüfung von JWT und Parsingnayload. 3. Bei Verwendung von JWT zur Authentifizierung in PHP kann JWT generiert und überprüft werden, und die Funktionen und Berechtigungsinformationen der Benutzer können in die erweiterte Verwendung aufgenommen werden. 4. Häufige Fehler sind Signaturüberprüfungsfehler, Token -Ablauf und übergroße Nutzlast. Zu Debugging -Fähigkeiten gehört die Verwendung von Debugging -Tools und Protokollierung. 5. Leistungsoptimierung und Best Practices umfassen die Verwendung geeigneter Signaturalgorithmen, das Einstellen von Gültigkeitsperioden angemessen.

Wie analysiert und verarbeitet man HTML/XML in PHP? Feb 07, 2025 am 11:57 AM

Dieses Tutorial zeigt, wie XML -Dokumente mit PHP effizient verarbeitet werden. XML (Extensible Markup-Sprache) ist eine vielseitige textbasierte Markup-Sprache, die sowohl für die Lesbarkeit des Menschen als auch für die Analyse von Maschinen entwickelt wurde. Es wird üblicherweise für die Datenspeicherung ein verwendet und wird häufig verwendet

PHP -Programm zum Zählen von Vokalen in einer Zeichenfolge Feb 07, 2025 pm 12:12 PM

Eine Zeichenfolge ist eine Folge von Zeichen, einschließlich Buchstaben, Zahlen und Symbolen. In diesem Tutorial wird lernen, wie Sie die Anzahl der Vokale in einer bestimmten Zeichenfolge in PHP unter Verwendung verschiedener Methoden berechnen. Die Vokale auf Englisch sind a, e, i, o, u und sie können Großbuchstaben oder Kleinbuchstaben sein. Was ist ein Vokal? Vokale sind alphabetische Zeichen, die eine spezifische Aussprache darstellen. Es gibt fünf Vokale in Englisch, einschließlich Großbuchstaben und Kleinbuchstaben: a, e, ich, o, u Beispiel 1 Eingabe: String = "TutorialPoint" Ausgabe: 6 erklären Die Vokale in der String "TutorialPoint" sind u, o, i, a, o, ich. Insgesamt gibt es 6 Yuan

Erklären Sie die späte statische Bindung in PHP (statisch: :). Apr 03, 2025 am 12:04 AM

Statische Bindung (statisch: :) implementiert die späte statische Bindung (LSB) in PHP, sodass das Aufrufen von Klassen in statischen Kontexten anstatt Klassen zu definieren. 1) Der Analyseprozess wird zur Laufzeit durchgeführt.

Was sind PHP Magic -Methoden (__construct, __Destruct, __call, __get, __set usw.) und geben Sie Anwendungsfälle an? Apr 03, 2025 am 12:03 AM

Was sind die magischen Methoden von PHP? Zu den magischen Methoden von PHP gehören: 1. \ _ \ _ Konstrukt, verwendet, um Objekte zu initialisieren; 2. \ _ \ _ Destruct, verwendet zur Reinigung von Ressourcen; 3. \ _ \ _ Call, behandeln Sie nicht existierende Methodenaufrufe; 4. \ _ \ _ GET, Implementieren Sie den dynamischen Attributzugriff; 5. \ _ \ _ Setzen Sie dynamische Attributeinstellungen. Diese Methoden werden in bestimmten Situationen automatisch aufgerufen, wodurch die Code -Flexibilität und -Effizienz verbessert werden.

Erklären Sie den Match -Expression (Php 8) und wie er sich vom Schalter unterscheidet. Apr 06, 2025 am 12:03 AM

In PHP8 sind Übereinstimmungsausdrücke eine neue Kontrollstruktur, die unterschiedliche Ergebnisse basierend auf dem Wert des Expression zurückgibt. 1) Es ähnelt einer Switch -Anweisung, gibt jedoch einen Wert anstelle eines Ausführungsanweisungsblocks zurück. 2) Der Match -Ausdruck wird streng verglichen (===), was die Sicherheit verbessert. 3) Es vermeidet mögliche Auslassungen in Switch -Anweisungen und verbessert die Einfachheit und Lesbarkeit des Codes.

See all articles