Misafir adlı üyeden alıntı: mesajı görüntüle
Hocam bu bir güvenlik açığı değil siz zaten bunu bir panelin içine koyacaksınız.
Bu ekrana gelmek için bir kullanıcı adı / şifre geçilecek.
Eğer ki kullanıcı seviyesi belirleyip her işlem sonrası bunuda eşleştirirseniz değiştirilmesi bir sıkıntı yaşatmaz.
Mesela siz panele giriş yaptınız seviniyeniz moderatör ve siz bir şekilde kullanıcı düzenle sayfasına id 5 değerine sahip bir kullanıcı ile düzenleme sayfası açtınız
Sayfada düzenleme işlemi yaptığınızda kullanıcının böyle bir işleme yetkisi olup olmadığını kontrol ederseniz otomatik olarak neyi değiştirmeye çalıştığı önemsiz olur
Ayrıca zaten seviyelendirme yaptığınızda o sayfalara otomatik giremez yani sayfa yüklenmez yetkiniz yok der yada direk ana dizine atar o şekilde ayarlarsınız.
Sağ tık ile id numarası değiştirme bir açık değildir ve engellenemez.
Siz o ekrana girişi güvenli hale getirin wordpress sitenize yeni yazı ekleyeceğiniz zaman önüne gelen ziyaretçi mi bu ekraa ulaşıyor yoksa admin paneline girebilen mi ?
Yönetim panelinizin içine gene XSS için vs. temizleme kodları koyun ama o kadarda sıkıntı edilcek bir durum değil sizinki.
Hocam bu senaryoyu tamamıyla örnek olarak verdim. ASP.net ile yazılan sitelere bakıyorum, hemen hemen birçoğunda value değeri kullanılmıyor mesela. Atıyorum ben oyun tasarladığımda, eşya sistemi olarak düşünebiliriz adam id'si 20 olan eşyayı at dediği zaman eğer buton valuesu değiştirilmişse ve 18 yapılmışsa 18'i atmaya çalışacak. Tamam şu kontrolü yaptırıyorum. id'si 18 olan eşya hangi karaktere ait onu kontrol et diyip büyük bir açığın önüne geçmiş oluyorum ama ne bileyim, id'si 20 olan da ona ait olsa bile atmamalı diye düşünüyorum sonuçta adam id'si 18 olana tıkladı. Düşünsenize oyunda çok önemli bir iteminiz var, 5 dakika bilgisayar başından kalkıyorsunuz, biri geliyor ve çöpe atılabilecek önemsiz eşyanın butonun valuesunu, çok önemli bir itemin id'si ile değiştiriyor ve siz önemsiz olanı çöpe atmak istediğinizde en güzel iteminiz çöpe gidiyor. Ütopik bir örnek olabilir ama anlatmak istediğim şeyi, daha rahat açıklamak için kullanmak istedim.