Chinaunix

标题: 防止外部post提交 [打印本页]

作者: lip199162 时间: 2008-06-07 11:52
标题: 防止外部post提交
如何有效防止外部post提交

作者: bjbs_270 时间: 2008-06-08 10:54
1.关掉apache(不对外网公开）
2.在提交的时候有一个验证码(干扰多和点的)

作者: yanglei1979 时间: 2008-06-10 11:12
不让外网访问,这个不行吧,网站都别人看不到了

我见过一些没有用验证码的,也很难POST提交过去,好象是用JS做了一个文件名转向什么的

作者: ipaddr 时间: 2008-06-10 11:40
简单的做法，可以根据Reference来判断，不过这个也可以造假的。

作者: yanglei1979 时间: 2008-06-10 17:21
http://contact.ebay.com/ws/eBayISAPI.dll

这个地址,防POST提交做得很好,可以研究下

我做了一个FORM,HTML文件,提交的话,就可以,但用 fsockopen()和curl都不太好提交过去.

作者: bjbs_270 时间: 2008-06-11 14:54
除了干扰足够强的图形验证方法（目前我觉得可行，但如果有足够强的ORC这个方案也无法做的到），可以说都无法真正的做到，永远不要全相信JS（客户端）的验证．

作者: yanglei1979 时间: 2008-06-11 15:53
楼上的说的有点不对啊

看我发的这个贴子:http://bbs.chinaunix.net/thread-1156237-1-1.html

人家没用任何验证码,你能模拟提交吗

作者: bjbs_270 时间: 2008-06-12 16:43

<form action="http://contact.ebay.com/ws/eBayISAPI.dll" class="nomargin" method="post" name="InlineSelfHelpWebform" style="margin: 0px; padding: 0px;"><input name="MfcISAPICommand" value="ContactUs" type="hidden"><input name="wftype" value="2023" type="hidden"><input name="rcode" value="LP=C00142" type="hidden"><input name="subject" value="Excessive shipping and handling" type="hidden"><input name="bcrumb" value="Listing Violations > Listing policy violations (improper keywords, outside links, excessive shipping, etc) > Circumvention of eBay fees > Excessive shipping and handling" type="hidden">
<input type="submit" name="submit" value="Email us with your question or concern"></form>

复制代码

发这个FROM的所在URL

作者: yanglei1979 时间: 2008-06-12 17:48

原帖由 bjbs_270 于 2008-6-12 16:43 发表

发这个FROM的所在URL

http://pages.ebay.com/help/conta ... ntinue=Continue+%3E

这个地址

作者: Dreamers 时间: 2008-06-12 19:29
我的经验是：加一个签名。

当用户访问这个页面的时候，服务器端根据用户的一些信息，组成一个签名，然后放在post表单，提交的时候先验证这个签名，这样就很难伪造了。

重点是签名如何生成：我一般都是：时间（精确到分钟）+用户ip+个性化签名（和密码一样).....

作者: 7717060 时间: 2008-06-12 20:18

原帖由 Dreamers 于 2008-6-12 19:29 发表
我的经验是：加一个签名。

当用户访问这个页面的时候，服务器端根据用户的一些信息，组成一个签名，然后放在post表单，提交的时候先验证这个签名，这样就很难伪造了。

重点是签名如何生成：我一般都是：时 ...

用session不就行了？

作者: Dreamers 时间: 2008-06-12 20:55

原帖由 7717060 于 2008-6-12 20:18 发表

用session不就行了？

session怎么做？

作者: bjbs_270 时间: 2008-06-12 23:04
下面的URL是不是登录后的URL

http://pages.ebay.com/help/contact_us/_base/Excessive_shipping_and_handling.html?item=380032645037&dsturl=http%3A%2F%2Fcgi.ebay.com%2F2gb-1-8-mp4-mp3-video-fm-voice-player-silver-warranty_w0qqitemz380032645037qqihz025qqcategoryz98410qqsspagenamezwdvwqqrdz1qqcmdzviewitem&tier0=%5Bobject+Object%5D&tier1=%5Bobject+Object%5D&tier2=Excessive_shipping_and_handling&continue=Continue+%3E

复制代码

作者: yanglei1979 时间: 2008-06-13 09:21

原帖由 7717060 于 2008-6-12 20:18 发表

用session不就行了？

只用SESSION,不用验证码,照样不行

作者: yanglei1979 时间: 2008-06-13 09:23

原帖由 bjbs_270 于 2008-6-12 23:04 发表
下面的URL是不是登录后的URL
http://pages.ebay.com/help/conta ... 3-video-fm-voice-pl ...

这个URL不用登录也能看到

只不过从这里提交过去以后,你不登录的话,就要登录

在这个页面点击:Email Us 这个链接,实际上是激活一个FORM提交动作

现在就是要模拟这个FORM提交动作

我拆出来的FORM,也是从这个页面拆出来的

作者: sunnyfun 时间: 2008-06-13 10:12

原帖由 yanglei1979 于 2008-6-13 09:21 发表

只用SESSION,不用验证码,照样不行

既然都能绕过SESSION了，那验证码也危险了

作者: yanglei1979 时间: 2008-06-13 12:56

原帖由 sunnyfun 于 2008-6-13 10:12 发表

既然都能绕过SESSION了，那验证码也危险了

session根本就不用绕

作者: ipaddr 时间: 2008-06-13 16:26

原帖由 yanglei1979 于 2008-6-13 12:56 发表

session根本就不用绕

Session没啥用，抓到你的Session ID后，完全可以模拟客户端的。

作者: zjq8188 时间: 2008-06-13 19:52

原帖由 ipaddr 于 2008-6-13 16:26 发表

Session没啥用，抓到你的Session ID后，完全可以模拟客户端的。

能抓到验证码吗？

欢迎光临 Chinaunix (http://bbs.chinaunix.net/)