शोषण मैं एक आवेदन है कि एक ajax कॉल (jQuery) स्वीकार करता है और वेबसाइट के लिए मान्य उपयोगकर्ता एक प्रवेश टोकन रिटर्न बनाने रहा हूँ।एक अलग php फ़ाइल भेद्यता करने के लिए एक ajax अनुरोध बदलने, संभावित स्पष्टीकरण
कहते हैं, उदाहरण के लिए ajax checkAuth.php कहा जाता है और इस निर्देशिका में अन्य सभी php फ़ाइलें हैं। checkMail.php को
var xmlRequest = $.ajax({
url: "checkAuth.php",
processData: false,
data: xmlDocument
});
परिवर्तन यूआरएल और साइट में एक जोखिम बनाने के लिए: जे एस बदलते उदाहरण के लिए checkMail.php की तरह एक और फ़ाइल सत्यापित करने के द्वारा?
var xmlRequest = $.ajax({
url: "checkMail.php",
processData: false,
data: xmlDocument
});
हालांकि परिणाम एक अलग वस्तु वापसी होगी लेकिन ऐसा करने से यह एक "खुला दरवाजा" बन जाएगा द्वारा शायद जहां दुर्भावनापूर्ण उपयोगकर्ता आदेश एक्सेस करने के लिए अनुरोध भेजने रखना चाहते हैं? मैं समझता हूं कि उपयोगकर्ता को यह जानना होगा कि PHP फ़ाइल मौजूद है, हालांकि मुझे यह सुनिश्चित नहीं है कि मेरी निर्देशिका संरचना को बनाए रखने के दौरान यह सुरक्षित रूप से कैसे संसाधित किया जाए। कृपया ध्यान दें कि यह मेरा वास्तविक कोड नहीं है और मैं इन अन्य पदों के साथ उत्तर को स्पष्ट नहीं कर सकता हूं या मैं इसे सही ढंग से समझ नहीं रहा हूं।
संपादित करें: इसके अलावा - क्या इसका मतलब यह होगा कि jquery का उपयोग करने वाली कोई भी साइट सर्वर से किसी भी फ़ाइल का अनुरोध करने और भेद्यता बनाने का प्रयास करने में सक्षम होगी?
How to authenticate an AJAX request to a PHP file?
Question regarding Ajax Hacking
How to send secure AJAX requests with PHP and jQuery
मैं नहीं कह रहा हूँ आप, गलत आप थोड़ा स्पष्ट कर सकते हैं कर रहे हैं क्योंकि निश्चित रूप से अगर 2 फ़ाइलें htaccess में अनुमति दी गई कर सकते हैं, कोई फर्क नहीं पड़ता टोकन, AJAX अनुरोध बाद की फ़ाइल का पर्दाफाश कर सकता है? – m33bo
उत्तर "हां, यह कर सकता है"। –