"Публичная форма" > "Скрытые поля"
-
Develop-Soft
- Сообщения: 690
- Зарегистрирован: 27 мар 2019, 01:22
- Имя: Владимир
- Откуда: Россия, Белгород
- Контактная информация:
"Публичная форма" > "Скрытые поля"
Обработчик запроса допускает инъекцию данных в поля, указанные как "скрытые".
-
support
- Техническая поддержка
- Сообщения: 9036
- Зарегистрирован: 19 окт 2014, 18:22
- Имя: Харчишин Сергей
- Откуда: Крым, Евпатория
Re: "Публичная форма" > "Скрытые поля"
Поля не скрываются физически, а просто делаются скрытыми. Так сделано специально. Много кто используете JS код для подстановки необходимых значений в скрытые поля.
-
Develop-Soft
- Сообщения: 690
- Зарегистрирован: 27 мар 2019, 01:22
- Имя: Владимир
- Откуда: Россия, Белгород
- Контактная информация:
Re: "Публичная форма" > "Скрытые поля"
Я о публичной форме. Той, которую кому-то выдают заполнять без авторизации (в гугле находил такие на чьих-то сайтах, типа анкет).
Они физически вроде отсутствуют, но если их "добавить" на странице или долить в Content-Disposion - можно заполнить те, поля, которые публичному пользователю "запрещены".
Потенциальная дыра в общем...
Они физически вроде отсутствуют, но если их "добавить" на странице или долить в Content-Disposion - можно заполнить те, поля, которые публичному пользователю "запрещены".
Потенциальная дыра в общем...