$_REQUEST против $_GET / $_POST

[Андрейка]

Breeze
да, конечно

 

[Breeze]

Андрейка

тогда берем именно тот код, что ты привел и делаем так

#telnet hostname 80

GET /thisfilename.php HTTP/1.1
Host: hostname
Referer: http://hostname/delete.php
Cookie: delete=i_can_delete_it; user=cool_hacker;

 

[Андрейка]

Breeze
и че собственно будет? откуда ты user в кукисах взял?

 

[Breeze]

Андрейка

какая разница откуда.. ты привел код, я тебе привел запрос ведущий к вызову deleteSomething.

 

[Андрейка]

Breeze
пасиб, это было очень интересно.. жаль только никоим боком не попадает под требование, размещенное под кодом (часть после последней запятой)

 

[Breeze]

Андрейка

сарказм в данном случае не уместен.
это требование - уже частный случай и взломоустойчивость зависит от конкретной реализации.

 

[Андрейка]

Breeze
тебе и требование дали и конкретную реализацию

 

[Breeze]

Андрейка

Ну вот под эту реализацию я тебе решение и написал.. В данном случае мне не надо заставлять пользователя делать что-то, я сам им стал отправив этот запрос..

вот если бы у тебя вместо $_COOKIE['user'] было $_SESSION['user'], даже разговаривать не о чем было бы..

 

[Wicked]

Андрейка
конкретно по вопросу "как заставить браузер пользователя отправить Referer = 'http://'.$_SERVER['HTTP_HOST'].'/delete.php'":
https://bugzilla.mozilla.org/attachment.cgi?id=287538

 

[cDLEON]

Breeze
А куку то, как будете получать с чужого сервака?

 

[Breeze]

cDLEON

а куки у нас на серверах храняться, да?

в данном коде вообще неважно, от юзера я ее возьму либо сам придумаю.. проверяется только ее наличие.

вот в случае сессии уже задница, да..

ИМХО, просто Андрейка не совсем удачно пример привел. Но его идея понятна.

 

[cDLEON]

Breeze
Нет, куки хранятся у юзверя, но с другого домена её получить не удастся. Придумывайте. Можете своим подбором мне кошелёк билла-гейтста на вебмани достать? А то блин, заразо делиццо не хочеД.

 

[Breeze]

cDLEON

ты мою строчку с ИМХО хорошо прочитал?

 

[Wicked]

cDLEON
лично я подразумеваю, что куки уже есть. Вот если ты ко мне на злобный сайт с пхпклаба придешь, и я тебя кину на какой-нибудь форумский функционал, то мне надо будет предварительно с твоей кукой хоть как-нибудь работать? Вот и я думаю, что нет.

 

[Андрейка]

Wicked
оч интересно.. ну просто не бравзеры, а HoleFox и дырзилла какие-то

Breeze
когда до тя дойдет, что если ты "я сам им стал", то на тебя теперь тоже распространяется условие "помимо его воли" - сообщи

 

[Wicked]

Андрейка
типа добро пожаловать в реальный мир Ты согласен, что я уязвил твою систему по крайней мере на современном ФФ?

Breeze
С чего ты взял, что user в данном случае не строчка сродни выхлопу md5 ? По сути тот же функционал сессий, только написанный руками.

 

[Breeze]

да мне по барабану что там за выхлоп.. я вижу что В ДАННОМ случае достаточно только самого наличия непустого user,delete, который как хочу так и посылаю, и левого referer. Кто их пошлет неважно, откуда, каким образорм тоже неважно. Остальные "если", не указаные в условии, меня не устраивают.
или прям обязательно скрипт писать, а?

что за манера уператься и видеть только свою сторону медали, читать через строчку каждую третью букву.

Все это уже напоминает детский диалог:

- я в тебя стреляю
- а я в бронежилете
- а я из базуки
- а я в домике

Андрейка

когда до тебя наконец дойдет, что я сразу понял то, что ты хотел до людей донести?

 

[cDLEON]

когда до тебя наконец дойдет, что я сразу понял то, что ты хотел до людей донести?

Тогда какого ты здесь выпендриваешься своими познаниями в ХТТП протоколе?

 

[sal]

Автор оригинала: cDLEON
Тогда какого ты здесь выпендриваешься своими познаниями в ХТТП протоколе?

Потому, что здесь - это норма поведения.

 

[fixxxer]

а вы что, правда так пишете - проверяете реферер в формах, проверяете куки перед выполнением действий? или это так, бредовые теоретические изыски?