人力検索はてな
モバイル版を表示しています。PC版はこちら
i-mobile

(PHP) ログインページ http://hoge/login.php というページがあります。このページはパスワードとIDを check.php に送っています。

しかしこの場合だとhttp://hacker/fake_login.php でも<from action=" のところを http://hoge/check.php まで指定してしまえばログインできてします。他のサーバーからのデータの送信を拒否するにはどうしたらいいのでしょうか?

リファーラを調べるという方法もありますが、ブラウザの種類やセキュリティソフトなどでリファーラを送信しない場合もあるためNGです。

そのほかの方法で対策できる方法がありましたら教えてください。

●質問者: esecua
●カテゴリ:コンピュータ ウェブ制作
✍キーワード:NG PHP サーバー セキュリティ ソフト
○ 状態 :終了
└ 回答数 : 1/1件

▽最新の回答へ

1 ● aki73ix
●60ポイント ベストアンサー

まず、http://hoge/login.php にアクセスしたときにセッションIDを発行&記録し、FORMのパラメータに渡し、http://hoge/check.php へアクセスした時に、一定時間内に発行したセッションIDでなかったらエラーにするというのはいかがでしょうか?

もしくは、login.phpにアクセスしてきたIPアドレスとUserAgentを一定時間保存しておき、保存リストの中にcheck.php にアクセスしてきたユーザーなら許可するという方法もありますね

これらの方法なら、ブラウザに依存しないで処理することができると思います

http://www.atmarkit.co.jp/fsecurity/rensai/webhole03/webhole...

関連質問


●質問をもっと探す●



0.人力検索はてなトップ
8.このページを友達に紹介
9.このページの先頭へ
対応機種一覧
お問い合わせ
ヘルプ/お知らせ
ログイン
無料ユーザー登録
はてなトップ