Agen Terpercaya   Advertise
 
 
 
Pasang iklan, hanya lewat Contact Us.
Waspada penipuan iklan. Klik di sini untuk melihat daftar penipu.

SHARE mengamankan class action menggunakan token untuk teknik CSRF

RayMantic

Moderator
Staff member
Moderator
Daftar
4 Oct 1988
Post
×
Like diterima
9.211
Bimabet
kebanyakan para penyerang memanfaatkan halaman form [yang ada kelas action berupa input / submit].
menggenerasi token yang di dapat dari inspect data di rekap lalu di bikinkan sebuah tools action yang akan membuat sistem membaca bahwa token itu benar .

meskipun setiap action akan membuatkan token yang berubah ubah.
misal seperti halaman :
misal delete.php -> menghapus data [user . konten . banned dll ]
misal juga tombol ceckout belanja . memanipulasi harga . memaksa action belanja menjadi sukses telah di bayar .dll

caranya manual yang lain yang biasanya di lakukan para penyerang adalah dengan mengambil dari URL langsung jika memang tidak ada token .
misal urlnya action setelah submit seperti ini :

domain / action /?data=[nama.ID.data]&submit=okay ../ .. / generation token
keterangan:
tinggal di ganti saja nama data [user . noID . datatransaksi] = ../ .. / generation token <- record action yang di dapat dari tool yang kita bikin

nah di sini saya hanya memberikan screenshoot biasanya saya mengamankan data transaksi saya :
hanya dasar nya seperti ini logika saya kalo mau di kembangkan lagi


mungkin ada yang punya cara lain yang lebih padet bisa di share juga .
untuk saling membantu siapa tahu ada yang kerjanya di bidang yang sama untuk member forum .




untuk cara pembuatan tool memanipulasi data token nya saya tidak share karena ini sub security bukan sub hacking dan tidak ada sub hacking di forum ini


semoga bermanfaat

kalo ada kekurangan saya minta maaf karena saya juga masih belajar sama seperti anda


:D
 
Terakhir diubah:
Jav Toys
Gaple Online Indonesia
Pasang iklan hanya lewat CONTACT US
Back
Top
We are now part of LS Media Ltd