Vandaag heb ik een stukje gelezen in de PcActive over 'database injection' of zoiets... het komt er op neer dat een 'aanvaller' een scriptopdracht opvangt en aanpast aan zijn eigen voorkeuren. Het idee is dat je daarmee 'andere dingen' kan doen dan waar het script voor bedoeld was. Ik geloof dat ik gisteravond een actie heb ondernomen waardoor het lastiger is om dit weblog met 'comments' te spammen. Eigenlijk is het een hele simpele oplossing... je moet gewoon zorgen dat je dat 'script' alleen kan aanroepen vanaf een bepaalde pagina... dus een losstaande aanroep moet je gewoon niet goed vinden en (ik klop het af) dat werkt...
Dus je kunt nu alles wat je maar wilt in een reaktie zetten, ik lig er niet wakker van...
14-10-2006 12:10:30
Hmmm, interessant... Wat je zei over het alleen aan kunnen roepen van een script vanaf een bepaalde pagina. Dat zit dan op ASP/PHP-niveau? Want ik kan me voorstellen dat iets als JavaScript daar niks mee kan, omdat het script dan al gebruikt is.
Door: Daniel
14-10-2006 12:51:28
Nee 't is typisch een ASP/PHP probleem/oplossing... dat klopt. Met javascript kan je geen 'sessievariabelen' zetten denk ik...
Door: Willem
Geef een reactie op dit bericht