|
|
|
Требование по безопасности приложения Apex
|
|||
|---|---|---|---|
|
#18+
Всем привет. Со стороны тестирования найдена уязвимость: Messages can be configured by the user авторMessages on the site can be controlled by the user. A message such as the following can cause a legitimate user to send his credentials to a malicious site. Please ensure that the messages can only be produced by the application and cannot be manipulated by the user. И для примера дана ссылка: http://qwert:777/a/apex/f?p=A" not found. Please Call 1-800-888-8888. Если ее открыть - открывается ссобщение в рамках этого приложения. Я так понимаю возможно подсунуть что угодно в url приложения. А хотелось бы отображать что-то наподобие - 404 Page not found, если такое нет в самом приложении. Есть идея как это можно устранить? Заранее спасибо. ... |
|||
|
:
Нравится:
Не нравится:
|
|||
| 22.11.2018, 07:29 |
|
||
|
Требование по безопасности приложения Apex
|
|||
|---|---|---|---|
|
#18+
sam_sql.ru, В url, как и в любом веб приложении, можно менять то, что предусмотрено синтаксисом URL. Вы можете включить защиту состояния сессии от подмены в урле ( Security Attributes > Session State Protection ) ... |
|||
|
:
Нравится:
Не нравится:
|
|||
| 22.11.2018, 08:59 |
|
||
|
Требование по безопасности приложения Apex
|
|||
|---|---|---|---|
|
#18+
SvDev, в Application - Security Attributes > Session State Protection вижу только Enabled -> Disabled Поменял, но разницы не заметил. В обоих случаях, если подложить тот url, который я указал выше (и для enable и для disable) http://qwert:777/a/apex/f?p=A" not found. Please Call 1-800-888-8888. вернется такой результат (см. картинку) ... |
|||
|
:
Нравится:
Не нравится:
|
|||
| 22.11.2018, 10:27 |
|
||
|
Требование по безопасности приложения Apex
|
|||
|---|---|---|---|
|
#18+
sam_sql.ru, Вы можете вбить в урл любое приложение или алиас приложения, это не запрещено. Если приложение не найдено, то это сообщение и выводится. Вы можете перевести / поменять текст сообщения (APEX.APPLICATION.ALIAS.NOT_FOUND), например убрать оттуда "%0", если вас смущает. ... |
|||
|
:
Нравится:
Не нравится:
|
|||
| 22.11.2018, 10:36 |
|
||
|
|
start [/forum/topic.php?fid=50&fpage=9&tid=1874084]: |
0ms |
get settings: |
6ms |
get forum list: |
12ms |
check forum access: |
4ms |
check topic access: |
4ms |
track hit: |
53ms |
get topic data: |
12ms |
get forum data: |
3ms |
get page messages: |
40ms |
get tp. blocked users: |
1ms |
| others: | 16ms |
| total: | 151ms |
| 0 / 0 |
