मैंने हाल ही में एक एएसपी.नेट एमवीसी 4 कोड बेस विरासत में मिला है। मैंने देखा एक समस्या यूआरएल में कुछ डेटाबेस आईडी (इन्ट्स) के साथ-साथ एचटीएमएल फॉर्म सबमिशन में भी थी। वर्तमान स्थिति में कोड यूआरएल टिंकरिंग और विभिन्न संख्याओं के साथ कस्टम एचटीएमएल पोस्ट बनाने के माध्यम से शोषक है।GUID को टालने के दौरान मैं अपने HTML को शोषक होने से कैसे रोकूं?
अब जब मैं सत्र स्थिति या अतिरिक्त ऑथ चेक का उपयोग कर यूआरएल समस्याओं को आसानी से ठीक कर सकता हूं, तो मुझे उस डेटाबेस आईडी के बारे में कम यकीन है जो एचटीएमएल में एम्बेडेड हो जाता है जिस पर साइट थूकती है (यानी मैं उन्हें एक बूंद देता हूं भरने)। जब ids एक पोस्ट में वापस आते हैं तो मैं कैसे सुनिश्चित कर सकता हूं कि मैंने उन्हें वैध विकल्प के रूप में रखा है? इस समस्या को हल करने के संदर्भ में "सर्वोत्तम अभ्यास" क्या माना जाता है?
जबकि मुझे सराहना है कि मैं बस इसे "ग़लत कर सकता हूं" मुझे ऐसा करने में संकोच नहीं है क्योंकि मुझे डिबगिंग डेटाबेस के साथ काम करने के लिए गधे में दर्द होता है।
क्या मेरे पास कोई विकल्प है? क्या मुझे आईडी के आसान अनुमान को रोकने के लिए ग्रिड करना चाहिए या क्या किसी प्रकार का डीआरवाई तंत्र है जिसका उपयोग मैं आईडी में उपयोग के रूप में साइट पर वापस आने के लिए कर सकता हूं?
अद्यतन: एक टिप्पणीकर्ता ने उन शोषणों के बारे में पूछा जिन्हें मैं उम्मीद कर रहा हूं। आइए कहें कि मैं उन सभी स्थानों की एक ड्रॉप डाउन सूची के साथ एक HTML फॉर्म थूकता हूं जो कोई "खजाना" आयात कर सकता है। उन स्थानों की आईडी जो उपयोगकर्ता के पास हैं 1,2 और 3, ये HTML में उपलब्ध कराई गई हैं। लेकिन उपयोगकर्ता एचटीएमएल की जांच करता है, इसके साथ झुकाव करता है और 4 चयनित आईडी की आईडी के साथ एक पोस्ट डालने का फैसला करता है। 4 उसका स्थान नहीं है, यह किसी और का है।
आप किस तंत्र से शोषण की उम्मीद कर रहे हैं? आप किस स्थिति में हैं जहां डेटा को झुकाव आपके सिस्टम से समझौता कर सकता है? GUID का उपयोग करने से स्वाभाविक रूप से अधिक सुरक्षित नहीं होता है। – PhonicUK
आपके लिए ओपी अपडेट किया गया। इस परिदृश्य में गइड्स अधिक सुरक्षित हैं क्योंकि आप उनका अनुमान नहीं लगा सकते हैं। – Quibblesome