Login  |  繁體中文
感謝您對「自由軟體鑄造場」的支持與愛護,十多年來「自由軟體鑄造場」受中央研究院支持,並在資訊科學研究所以及資訊科技創新研究中心執行,現已完成階段性的任務。 原網站預計持續維運至 2021年底,網站內容基本上不會再更動。本網站由 Denny Huang 備份封存。
也紀念我們永遠的朋友 李士傑先生(Shih-Chieh Ilya Li)。
討論區
2010.09.18 網頁安全分析-漏洞檢測入門(已截止) (1 viewing) (1) Guest
已經參與過工作坊的朋友們,請盡情地在此留下感想、建議、批評、指教,以作為我們日後改善的參考。對參加過的課程有問題的朋友,請在活動結束之後兩週內,在專屬的討論串發表問題,講師將會為各位解惑。超過兩週之後發表的問題將不再回覆,請見諒!
Go to bottom Favoured: 1
TOPIC: 2010.09.18 網頁安全分析-漏洞檢測入門(已截止)
#596
2010.09.18 網頁安全分析-漏洞檢測入門(已截止) 2010/09/18 18:11  (9 Years, 2 Months ago) Karma: 1  
有關於本次活動的問題,都可以在此作發表,講師會在此回覆問題。

只到 10/2 止。
rockhung (Admin)
Admin
Posts: 18
graphgraph
User Offline Click here to see the profile of this user
Logged Logged  
 
Last Edit: 2010/10/02 18:23 By rockhung.
 
The topic has been locked.  
#597
logout的網址,會有安全的疑慮嗎? 2010/09/19 08:40  (9 Years, 2 Months ago) Karma: 0  
請教講師:
一般在網路上常見的網址列

ooooooooxxx.com?logout=1

這種方法是否有什麼潛在的安全問題?
marukoko (User)
Fresh Boarder
Posts: 1
graphgraph
User Offline Click here to see the profile of this user
Logged Logged  
 
Last Edit: 2010/09/19 08:43 By marukoko.
 
The topic has been locked.  
#603
Re:logout的網址,會有安全的疑慮嗎? 2010/09/25 18:13  (9 Years, 1 Month ago) Karma: 1  
您好,講師近日較為忙碌,我會通知他來作答覆,請稍等。

此篇文章我已經移至 9/18 當天的課程討論串,請到那邊查看。

感謝您的發言!

ROCK
rockhung (Admin)
Admin
Posts: 18
graphgraph
User Offline Click here to see the profile of this user
Logged Logged  
 
The topic has been locked.  
#605
Re:logout的網址,會有安全的疑慮嗎? 2010/09/25 21:19  (9 Years, 1 Month ago) Karma: 0  
Marukoko您好:

這類型不一定有安全疑慮,要看程式撰寫人員的寫法。

目前社交網站常見的弱點,是「功能未做使用者身份檢查」,導致只要攻擊者將此logout的網址惡意張貼,使用者點擊到就會登出。
比較好的做法是外加一組會變動的檢查碼,只有使用者自己瀏覽點選才會生效,而不是像這樣單純只有網址。

其他風險方面,因為此類網址只是單純進行功能操作,並無資料庫等運作,因此其餘風險較低。
但主要還是要看程式撰寫人員的寫法。

謝謝!

marukoko wrote:
請教講師:
一般在網路上常見的網址列

ooooooooxxx.com?logout=1

這種方法是否有什麼潛在的安全問題?
allenown (User)
Fresh Boarder
Posts: 2
graphgraph
User Offline Click here to see the profile of this user
Logged Logged  
 
The topic has been locked.  
Go to top