[Owasp-turkey] Cross-Site Request Foreign

TunerX tunerx at hotmail.co.uk
Tue Sep 11 10:48:50 EDT 2007


Gönderdiğim boş mesaj için özür dilerim.

CSRF hakkında araştırma yaparken 

"<form action="buy.php" method="POST">
<p>Symbol: <input type="text" name="symbol" /></p>
<p>Shares: <input type="text" name="shares" /></p>
<p><input type="submit" value="Buy" /></p>"
</form>

"<?php
 
session_start();
 
if (isset($_REQUEST['symbol'] &&
    isset($_REQUEST['shares']))
{
    buy_stocks($_REQUEST['symbol'],
               $_REQUEST['shares']);
}
 
?>"

"(- <img src="http://example.org/buy.php?symbol=SCOX&shares=1000" />" Bu
üçüncü kod exploit olarak çalışıyor anladığım kadarıyla.

Bir türlü anlayamadım ilk iki kod grubunda ne var ki bir açığa sebep oluyor
sadece post metodunun kullanılması mı yoksa gönderen kullanıcın bir token
yardımıyla gitmemesi mi acaba ? Ve ben nasıl bir sayfada CSRF olduğunu
anlaya bilirim. 

Kodlar buradan Alıntıdır
<http://shiflett.org/articles/cross-site-request-forgeries> .
-------------- sonraki bölüm --------------
Bir HTML eklentisi temizlendi...
URL: https://lists.owasp.org/pipermail/owasp-turkey/attachments/20070911/25b96ae1/attachment.html 


More information about the Owasp-turkey mailing list