Ciao a tutti, volevo chiedervi un parere su una cosa che é successa sul sito aziendale... allora in poche parole i nostri utenti hanno dei punti che possono scambiare con buoni o altro... Il problema é che un utente ci ha segnalato un bug, in poche parole dice che nella pagina di scambio punti, é possibile cambiando l'html o il input di quando si clicca sul bottone per lo scambio, cambiare la quantitá di punti per far si che lo scambio avvenga tipo ce ne vogliono 1000, mentre la quantitá sottratta diventa 10. Quello che mi chiedo, é possibile fare una cosa del genere? ció inviare un input "falsato" al server? Da notare per arrivare alla pagina degli scambi ci si deve accedere attraverso login e password... Giusto per capire se l'utente le sta sparando grosse e noi abbiamo un bug nel sistema o se é un bug nella realizzazione del sito...

Grazie in anticipo!

Ciao a tutti, volevo chiedervi un parere su una cosa che é successa sul sito aziendale... allora in poche parole i nostri utenti hanno dei punti che possono scambiare con buoni o altro... Il problema é che un utente ci ha segnalato un bug, in poche parole dice che nella pagina di scambio punti, é possibile cambiando l'html o il input di quando si clicca sul bottone per lo scambio, cambiare la quantitá di punti per far si che lo scambio avvenga tipo ce ne vogliono 1000, mentre la quantitá sottratta diventa 10. Quello che mi chiedo, é possibile fare una cosa del genere? ció inviare un input "falsato" al server? Da notare per arrivare alla pagina degli scambi ci si deve accedere attraverso login e password... Giusto per capire se l'utente le sta sparando grosse e noi abbiamo un bug nel sistema o se é un bug nella realizzazione del sito...

Grazie in anticipo!


Certo che è possibile falsare l'input! se io guardo il codice html di una form che invia dati ad uno script (nel quale c'è il tot di punti da togliere) posso tranquillamente inviare dati differenti aggirando possibili controlli sulla pagina.

Per questo motivo SEMPRE controllare quello che arriva in input allo script!!!
I dati ricevuti da un form non vanno MAI considerati a posto, ma come possibile fonte di insicurezza e di problemi.

Se il numero di punti lo invia il form allo script prima di prenderlo per buono devi controllare che questo punteggio abbia un senso.

;)

Certo che è possibile falsare l'input! se io guardo il codice html di una form che invia dati ad uno script (nel quale c'è il tot di punti da togliere) posso tranquillamente inviare dati differenti aggirando possibili controlli sulla pagina.

Per questo motivo SEMPRE controllare quello che arriva in input allo script!!!
I dati ricevuti da un form non vanno MAI considerati a posto, ma come possibile fonte di insicurezza e di problemi.

Se il numero di punti lo invia il form allo script prima di prenderlo per buono devi controllare che questo punteggio abbia un senso.

;)

Grazie mille... contatto gli amministratori del sito...
una curiositá come si fa a mandare questo input falsato? io ho fatto delle prove tipo a salvarmi la pagina sul desktop e modificarla e poi inviare l'input ma non mi funzionava...

Grazie mille... contatto gli amministratori del sito...
una curiositá come si fa a mandare questo input falsato? io ho fatto delle prove tipo a salvarmi la pagina sul desktop e modificarla e poi inviare l'input ma non mi funzionava...

dipende dal metodo di invio dei dati della pagina (GET/POST)