API tools faq
paste
cfcf

vuln

cfcf
Dec 9th, 2015
178
0
Never
Add comment
Not a member of Pastebin yet? Sign Up, it unlocks many cool features!
text 1.20 KB | None | 0 0
raw download clone embed print report
  1. Zapomenuty exit po presmerovani:
  2.  
  3.  
  4. Situace, kdy uzivatel nema pravo pristupovat k dane webove strance, se resi typicky presmerovanim na jinou stranku. Napriklad uzivatel, ktery se chce dostat k http://site.cz/admin/index byva nejprve presmerovan na http://site.cz/admin/login.
  5.  
  6. Nekdy se stane, ze programator vyvola presmerovani, ale neukonci zpracovani skriptu. Ze serveru pak odejde odpoved, ktera ma sice v hlavicce pokyn pro presmerovani, ale v tele je obsah vygenerovany probehlym skriptem. V nasem prikladu s http://site.cz/admin/index by se v hlavicce objevilo presmerovani na prihlasovaci stranku http://site.cz/admin/login, v tele odpovedi by vsak byl html kod administracniho rozhrani. Pro jeho zobrazeni staci umazat par radku z hlavicky.
  7.  
  8.  
  9. Skript generujici stranku casto obsahuje nejake dalsi rozhodovani o tom, co prihlaseny uzivatel smi a nesmi. Ve strance, ktera se zobrazi jako soucast pozadavku na redirect, nemiva uzivatel platnou session a na toto osetreni casto vubec nedojde. V skryte strance se tak objevi odkaz na funkcionalitu, o ktere nema bezny uzivatel tuseni.
  10.  
  11. Naprava je jednoducha, staci po presmerovani ukoncit beh skriptu, v PHP napriklad takto
  12.  
  13. header("location: login");
  14. die();
Advertisement
Add Comment
Please, Sign In to add comment
Public Pastes
We use cookies for various purposes including analytics. By continuing to use Pastebin, you agree to our use of cookies as described in the Cookies Policy.  OK, I Understand
Not a member of Pastebin yet?
Sign Up, it unlocks many cool features!