衝進中橫水溝紅牌重	快艇正妹豪乳吸睛	(4月新番)[繁]為美好
✡ 斗破蒼穹年番／鬥	[簡]Unnamed Memory	桃園觀音文林路女子

查看: 3018|回復: 12

[問題]暴露jQuery的安全疑問[複製鏈接]

opspeed

中學生(1000/4000)

Rank: 3 Rank: 3 Rank: 3

帖子: 570
積分: 1324 點
潛水值: 17915 米

電梯直達

樓主

發表於 2015-11-22 12:31 PM|只看該作者|倒序瀏覽

分享使你變得更實在，可以使其他人感到快樂，分享是我們的動力。今天就來分享你的資訊、圖片或檔案吧。

最近把form改成用jQuery來接收欄位做登入媒介，請問下圖直接暴露jQuery抓取到的欄位值，會有安全上的疑慮嗎?

附件: 你需要登錄才可以下載或查看附件。沒有帳號？註冊

Rank: 1

帖子: 138
積分: 150 點
潛水值: 27870 米

頭香

發表於 2015-11-23 08:40 AM|只看該作者

若新密碼無法使用，可能是數據未更新。請使用舊密碼看看。

主要的安全檢查還是要寫在server

就算沒有用jquery, 就算沒有用ajax, 只要開發者工具一打開, 還是有辦法知道網站是抓取哪些欄位

點評

hsw1976 表單元件識別名不一定非得跟資料庫的欄位名一樣不可，兩者不同，並不會影響實際的資料庫存取，所以這個顧慮可說是多餘的發表於 2016-1-15 09:55 AM

如果瀏覽伊莉時速度太慢或無法連接，可以使用其他分流瀏覽伊莉，www01.eyny.com(02,03)。

使用道具檢舉

opspeed

中學生(1000/4000)

Rank: 3 Rank: 3 Rank: 3

帖子: 570
積分: 1324 點
潛水值: 17915 米

3樓

發表於 2015-11-23 10:37 AM|只看該作者

分享使你變得更實在，可以使其他人感到快樂，分享是我們的動力。今天就來分享你的資訊、圖片或檔案吧。

bpflsll234 發表於 2015-11-23 08:40 AM
下載: 訪客無法瀏覽下載點，請先註冊或登入會員

主要的安全檢查還是要寫在server

就算沒有用jquery, 就算沒有用ajax, 只要開發者工具一打開, 還是有辦法知 ...

...

瀏覽完整內容，請先註冊或登入會員

若新密碼無法使用，可能是數據未更新。請使用舊密碼看看。

使用道具檢舉

theloserbm

中學生(1000/4000)

Rank: 3 Rank: 3 Rank: 3

帖子: 663
積分: 1128 點
潛水值: 20810 米

4樓

發表於 2015-11-23 10:54 AM|只看該作者

如果你覺得伊莉做得不錯，那就不要再猶疑了。今天就贊助和支持我們，立即行動！我們需要你的一點力量喔。

在這方面ajax和沒有ajax是一樣的

保安主要是靠HTTPS加密來做, 密碼是使用者自己輸入的, 所以在進入HTTPS通道之前使用者可以看得到.

所以身為一個使用者, 在輸入密碼時必須確認網址正確(很重要
), 並且有正確的HTTPS證書(很多瀏覽器會用綠色或是一個鎖頭來標誌). 證書不正確瀏覽器也會發出警告讓使用者小心.

點評

opspeed 了解~因為把js獨立成檔案匯入網站會抓不到值，所以想問暴露在php是否會有資安問題目前網站有用cloudflare免費的SSL，不知道那夠不夠安全? 發表於 2015-11-23 07:14 PM

若瀏覽伊莉的時侯發生問題或不正常情況，請使用Internet Explorer(I.E)。

使用道具檢舉

alextang1030

高級幼兒生(30/200)

Rank: 1

帖子: 39
積分: 50 點
潛水值: 3380 米

5樓

發表於 2015-11-27 03:07 PM|只看該作者

所有積分大於負-100的壞孩子，將可獲得重新機會成為懲罰生，權限跟幼兒生一樣。

AJAX 也就是只用來傳送值，值本身的對錯檢查是在後台(PHP)部份
如果都到了能用開發者工具去取得用戶在AJAX的值的話
那相信是用戶的電腦本身就已經給下毒了。

補充內容 (2015-12-1 10:06 AM):
值本身的對錯檢查是在後台(PHP)部份<--這是指
那個用戶輸入的值是不是你想要的/是不是正確的，基本上都會在PHP的檔案中做檢查，而不是JS檔中做

點評

hsw1976 你是想說「透過後台來驗證用戶輸入的資料是否正確」吧？不是很明白這樣做的用意，前端可以處理掉的事情，為何要繞到後端去做。發表於 2015-12-26 08:47 AM

hsw1976 不太能理解什麼叫「值本身的對錯檢查是在後台(PHP)部份」發表於 2015-12-1 08:47 AM

所有積分大於負-100的壞孩子，將可獲得重新機會成為懲罰生，權限跟幼兒生一樣。

使用道具檢舉

theloserbm

中學生(1000/4000)

Rank: 3 Rank: 3 Rank: 3

帖子: 663
積分: 1128 點
潛水值: 20810 米

6樓

發表於 2015-12-1 10:07 PM|只看該作者

升級為尊貴會員或贊助會員，讓你擁有自由、暢通無阻、應有盡有及所有資源任你使用的無窮快感。

alextang1030 發表於 2015-11-27 03:07 PM
下載: 訪客無法瀏覽下載點，請先註冊或登入會員

AJAX 也就是只用來傳送值，值本身的對錯檢查是在後台(PHP)部份
如果都到了能用開發者工具去取得用戶在AJAX ...

嘛... 從安全上來說是這樣沒錯, 但是以現代的網頁來說, 在客戶端(JS)檢查會有較好的用戶體驗, 也能減少伺服器的負擔.所以在兩邊都做也是常見的喔!
...

瀏覽完整內容，請先註冊或登入會員

如果你覺得伊莉做得不錯，那就不要再猶疑了。今天就贊助和支持我們，立即行動！我們需要你的一點力量喔。

使用道具檢舉

alextang1030

高級幼兒生(30/200)

Rank: 1

帖子: 39
積分: 50 點
潛水值: 3380 米

7樓

發表於 2015-12-2 09:17 PM|只看該作者

分享使你變得更實在，可以使其他人感到快樂，分享是我們的動力。今天就來分享你的資訊、圖片或檔案吧。

theloserbm 發表於 2015-12-1 10:07 PM
下載: 訪客無法瀏覽下載點，請先註冊或登入會員

嘛... 從安全上來說是這樣沒錯, 但是以現代的網頁來說, 在客戶端(JS)檢查會有較好的用戶體驗, 也能減少伺 ...

一般安全性不大的也是可以，我自己也會有用到
...

瀏覽完整內容，請先註冊或登入會員

若有安裝色情守門員，可用無界、自由門等軟件瀏覽伊莉。或使用以下網址瀏覽伊莉: http://www.eyny.com:81/index.php

使用道具檢舉

sheauren

高級幼兒生(30/200)

Rank: 1

帖子: 324
積分: 191 點
潛水值: 14280 米

8樓

發表於 2015-12-4 08:02 AM|只看該作者

若登入不正常或變回訪客狀態，請先刪除COOKIE再登入。

帳密因為server端檢查
client端本來就是上使用者填入的地方
因此在js上看的到問題不大
畢竟就算是form submit一樣看得到
把瀏覽器的開發者功能打開還是看得到傳輸資料@@
真的怕被try密碼前端多個captcha認證避免用js直接try
captcha不一致server就先reject
後端則是多個類似三次失敗鎖帳號的功能

回覆中加入附件並不會使你增加積分，請使用主題方式發佈附件。

使用道具檢舉

opspeed

中學生(1000/4000)

Rank: 3 Rank: 3 Rank: 3

帖子: 570
積分: 1324 點
潛水值: 17915 米

9樓

發表於 2015-12-6 01:09 AM|只看該作者

如果瀏覽伊莉時速度太慢或無法連接，可以使用其他分流瀏覽伊莉，www01.eyny.com(02,03)。

sheauren 發表於 2015-12-4 08:02 AM
下載: 訪客無法瀏覽下載點，請先註冊或登入會員

帳密因為server端檢查
client端本來就是上使用者填入的地方
因此在js上看的到問題不大

了解~剛學會由ajax傳至後端怕直接暴露會有安全上問題
...

瀏覽完整內容，請先註冊或登入會員

分享使你變得更實在，可以使其他人感到快樂，分享是我們的動力。今天就來分享你的資訊、圖片或檔案吧。

使用道具檢舉

opspeed

中學生(1000/4000)

Rank: 3 Rank: 3 Rank: 3

帖子: 570
積分: 1324 點
潛水值: 17915 米

10樓

發表於 2015-12-6 01:10 AM|只看該作者

上傳頭像立即獲得 1 點積分。

alextang1030 發表於 2015-12-2 09:17 PM
下載: 訪客無法瀏覽下載點，請先註冊或登入會員

一般安全性不大的也是可以，我自己也會有用到
但只要是跟安全性有關的，如密碼或個人資料，我都偏向在後 ...

...

瀏覽完整內容，請先註冊或登入會員

伊莉影片

使用道具檢舉

tonnymarkx 該用戶已被刪除

11樓

發表於 2015-12-7 09:04 AM|只看該作者

若瀏覽伊莉的時侯發生問題或不正常情況，請使用Internet Explorer(I.E)。

樓主  你這種方式安全太低

我建議底下幾種方法

1. CSRF 標記  (自己 google)
2. 每一種輸入的類型要加上規則  好比說名字不可以超過幾個字元不可以低於幾個字元
3. 圖像認證 (必備)
4. 嘗試失敗 4次  delay 10 分鐘  並記錄 IP

這幾種請先試試看

若有安裝色情守門員，可用無界、自由門等軟件瀏覽伊莉。或使用以下網址瀏覽伊莉: http://www.eyny.com:81/index.php

使用道具檢舉

alextang1030

高級幼兒生(30/200)

Rank: 1

帖子: 39
積分: 50 點
潛水值: 3380 米

12樓

發表於 2015-12-7 01:52 PM|只看該作者

如果你覺得伊莉做得不錯，那就不要再猶疑了。今天就贊助和支持我們，立即行動！我們需要你的一點力量喔。

opspeed 發表於 2015-12-6 01:10 AM
下載: 訪客無法瀏覽下載點，請先註冊或登入會員

後台有做判斷，這樣應該就比較安全了?

當然不可能，只是比較安全而已，你還可以再加上樓上的建議。
安全檢查是多多益善，但也得看你需要的程度，太多會影響用戶使用，而且滿多餘
...

瀏覽完整內容，請先註冊或登入會員

點評

hsw1976 你可以另開一篇說明利用前端、後端檢驗用戶輸入資料的差異。發表於 2015-12-26 08:50 AM

分享使你變得更實在，可以使其他人感到快樂，分享是我們的動力。今天就來分享你的資訊、圖片或檔案吧。

使用道具檢舉

theloserbm

中學生(1000/4000)

Rank: 3 Rank: 3 Rank: 3

帖子: 663
積分: 1128 點
潛水值: 20810 米

13樓

發表於 2015-12-7 04:37 PM|只看該作者

上傳頭像立即獲得 1 點積分。

你們稍稍有些離題了. 原PO的問題是原裝form和ajax對登入時所輸入的密碼是否有暴露的問題.

你們所說的安全檢查無論在form和ajax上都是適用的, 並不是只有用ajax時才需要.

關於圖像認證, 個人認為只有註冊的時候比較需要, 登入的時候是可有可無.
登入的防護主要是用錯誤N次則封鎖一段時間來做, 或是錯誤後才出現圖像.

成為伊莉的版主，你將獲得更高級和無限的權限。把你感興趣的版面一步步地發展和豐盛，那種滿足感等著你來嚐嚐喔。

使用道具檢舉

返回列表

Archiver|手機版|廣告|聯絡我們|廣告查詢|廠商合作|伊莉

GMT+8, 2024-4-26 08:04 AM

重要聲明：本討論區是以即時上載留言的方式運作，對所有留言的真實性、完整性及立場等，不負任何法律責任。而一切留言之言論只代表留言者個人意見，並非本網站之立場，用戶不應信賴內容，並應自行判斷內容之真實性。於有關情形下，用戶應尋求專業意見(如涉及醫療、法律或投資等問題)。由於本討論區受到「即時上載留言」運作方式所規限，故不能完全監察所有留言，若讀者發現有留言出現問題，請聯絡我們。有權刪除任何留言及拒絕任何人士上載留言，同時亦有不刪除留言的權利。切勿上傳和撰寫侵犯版權(未經授權)、粗言穢語、誹謗、渲染色情暴力或人身攻擊的言論，敬請自律。本網站保留一切法律權利。