Witam,
Ostatnio znalazłem na swojej stronie dużą lukę jeśli chodzi o zabezpieczenia. Wszystkie hiperłącza na stronie są wykonywane przy pomocy AJAXa i tutaj zrodził się problem - w jaki sposób zabezpieczyć się przed atakami XSS próbującymi zamęczyć serwer?
Jak się bronić przed takim czymś, gdy np. user wpisze w pasku adresu strony kod JS, który będzie wykonywał w pętli requesty do strony? Taka pętla, wykonywana np. 1 mln razy może bardzo mocno spowolnić serwer, albo nawet go zaciąć na jakiś czas.
Pełna wersja: AJAX - bezpieczeństwo
Cytat(Skie @ 16.11.2008, 22:04:11 ) 
atakami XSS próbującymi zamęczyć serwer?
xss skierowany jest w usera a nie w serwer to 1.
2. nie do konca wiem o co chodzi:-)
3. jak sie bronic przed XSS ? filtrowac wszystko co przychodzi
Chyba omylnie wprowadziłeś pojęcie XSS. Jeśli chodzi o obronę przed atakami, o których wspomniałeś, to wystarczy zablokować odpowiedzi serwera dla IP, które nienaturalnie często odwołują się do naszego serwisu. Jeśli zbudowałeś serwis na AJAX, to wiesz jak często klient może pytać serwer o dane, a nadwyżki powinieneś rozpatrzeć indywidualnie (na przykład wysyłając nagłówek 501)!
No, może omylnie wprowadziłem to pojęcie XSS, ale nie wiedziałem jak inaczej to nazwać :-)
Mam problem z przewidywaniami takich danych, ponieważ większość serwisu jest rzadko odświażanych (no tak jak na zwyczajnych stronach) ale niektóre podstrony mogą być odświeżane nawet co 1 sek. (jeśli user będzie chciał coś często robić). Zastanawiałem się znowu nad zrobieniem czegoś takiego co ograniczy ilość możliwych zapytań dla jednego usera np. co 1 sek, ale znowu jest problemy, gdyz kazdy link AJAXowy wykonuje u mnie na stronie 2 requesty (1 plik z podstroną którą się ładuje i 1 plik z listą userów online).
Jakieś propozycje?
Czy naprawdę nikt nie ma pojęcia jak takie coś zrobić? Nikt się nie borykał z takim problemem?
Mam problem z przewidywaniami takich danych, ponieważ większość serwisu jest rzadko odświażanych (no tak jak na zwyczajnych stronach) ale niektóre podstrony mogą być odświeżane nawet co 1 sek. (jeśli user będzie chciał coś często robić). Zastanawiałem się znowu nad zrobieniem czegoś takiego co ograniczy ilość możliwych zapytań dla jednego usera np. co 1 sek, ale znowu jest problemy, gdyz kazdy link AJAXowy wykonuje u mnie na stronie 2 requesty (1 plik z podstroną którą się ładuje i 1 plik z listą userów online).
Jakieś propozycje?
Czy naprawdę nikt nie ma pojęcia jak takie coś zrobić? Nikt się nie borykał z takim problemem?
To jest wersja lo-fi głównej zawartości. Aby zobaczyć pełną wersję z większą zawartością, obrazkami i formatowaniem proszę kliknij tutaj.