Przekazywanie identyfikatorów sesji w URL jest ZŁE (mówiłem o tym w prezentacji o zarządzaniu sesją na spotkaniu OWASP). Sama koncepcja umieszczenia w URL dodatkowej unikalnej informacji już zła nie jest, oczywiście zależy do czego będzie ona wykorzystywana. Zawarcie w URL losowego tokenu powoduje, że atakujący nie będzie w stanie przygotować odpowiedniego URL, co przeprowadzenie kilku typów ataków skutecznie utrudni. Więcej: Improving Security with URL Rewriting.
Najnowsze wpisy
- Jak powstaje elektrozłom
- Sunday, 21 July 2024
- Cluster
- Monday, 15 July 2024
- Sponsorem przebudowy placu zabaw jest...
- Sunday, 30 June 2024
- Po lewej stronie drogi
- Sunday, 19 May 2024
- Nie lubię, gdy jest płasko
- Sunday, 18 February 2024
- Nowy iPad - wrażenia z przesiadki
- Wednesday, 24 January 2024
- Jak nie wiesz, to nie wiesz
- Sunday, 14 January 2024
- Z microk8s na k3s
- Wednesday, 8 November 2023
- Rajesh Penetrator
- Saturday, 2 September 2023
- random(random())
- Tuesday, 1 August 2023
Losowe wpisy
- Defence-in-depth a działania pozorowane
- Thursday, 20 September 2007
- moth - A VMware image with vulnerable web applications
- Tuesday, 12 May 2009
- O SSL słów kilka
- Saturday, 2 December 2006
- Zaoszczędź 190 PLN, czyli o odzyskiwaniu danych
- Saturday, 9 August 2008
- Child process /etc/ppp/ip-up (pid 9317) terminated with signal 15
- Sunday, 27 August 2006
- Nasza Klasa na celowniku - koniec komentarzy
- Tuesday, 27 January 2009
- Dać małpie brzytwę czyli o co chodzi w tych wynikach
- Tuesday, 5 May 2009
- Bootcamp VIII: wyzwanie (hint II)
- Wednesday, 3 June 2009
- Nie lubię, gdy jest płasko
- Sunday, 18 February 2024
- Atsiv
- Friday, 3 August 2007
