0
我一直在努力確保網頁表格的安全(以前,我們的「聯繫我們」網頁表單會將表單的內容提交給生成電子郵件的ASP,從而使網頁易於受到來自我們網站之外頁面的攻擊,因爲URL是在表單的行動中)。爲了對付垃圾郵件,我在發佈到處理電子郵件的另一個ASP之前,將傳統的ASP頁面更改爲POST。我使用15 Seconds site上的代碼來防止多次提交,並在將所有已發佈的變量重新發布到HTTPS頁面之前將其更改爲會話變量。我在其中包含一個帶有會話ID的隱藏輸入字段,並在HTTPS端的頁面上驗證所有字段中都有數據,並驗證提交的會話ID是否與當前會話ID匹配。ASP POST回到自己,然後到HTTPS。漏洞?
我想想認爲這是相當安全的(儘管把它全部放入HTTPS),但我不確定。在發佈到HTTPS頁面之前,最初的ASP是否發回自己留下了可以被利用的漏洞?我是否過度設計了一個部分而又另一個部分是開放的?
讓我澄清一下:我們收到的垃圾郵件可能是因爲發佈的頁面包含生成電子郵件的代碼,表單字段包含垃圾郵件發送者創建自己的表單以提交給他們的所有信息我們的確認/電子郵件頁面。我所做的是在表單被重新發布到自身時更改字段名稱,然後將這些名稱發佈到電子郵件/確認頁面以及會話ID。 – JFrancis 2011-01-31 16:16:00
我的問題是,當頁面發回給自己時(在發佈到電子郵件頁面之前),那裏有什麼樣的漏洞可以被利用?我是否正確地假設數據是以明確的形式發佈的,並且可能會受到影響? – JFrancis 2011-01-31 16:24:56