জিইটি অনুরোধটি পোষ্ট অনুরোধের তুলনায় সামান্য কম সুরক্ষিত। উভয়ই নিজের দ্বারা সত্য "সুরক্ষা" সরবরাহ করে না; পোষ্ট অনুরোধগুলি ব্যবহার করা আপনার ওয়েবসাইটকে লক্ষণীয় পরিমাণে দূষিত আক্রমণগুলির বিরুদ্ধে জাদুকরীভাবে সুরক্ষিত করবে না । তবে, জিইটি অনুরোধগুলি ব্যবহার করা অন্যথায় সুরক্ষিত অ্যাপ্লিকেশনটিকে নিরাপত্তাহীন করতে পারে।
আপনি "পরিবর্তনগুলি করার জন্য জিইটি অনুরোধগুলি ব্যবহার করবেন না" এই মন্ত্রটি এখনও খুব বৈধ, তবে এটির দূষিত আচরণের সাথে খুব একটা সম্পর্ক নেই । লগইন ফর্মগুলি ভুল অনুরোধ প্রকারটি ব্যবহার করে প্রেরণে সবচেয়ে সংবেদনশীল।
মাকড়সা এবং ওয়েব ত্বরণকারী অনুসন্ধান করুন
ডেটা পরিবর্তনের জন্য আপনার পোষ্ট অনুরোধগুলি ব্যবহার করা উচিত এটিই আসল কারণ। অনুসন্ধান মাকড়সা আপনার ওয়েবসাইটের প্রতিটি লিঙ্ক অনুসরণ করবে, তবে তারা খুঁজে পাওয়া এলোমেলো ফর্মগুলি জমা দেবে না।
ওয়েব ত্বরণকারী অনুসন্ধান মাকড়সাগুলির চেয়ে খারাপ, কারণ তারা ক্লায়েন্টের মেশিনে চালিত হয় এবং লগইন হওয়া ব্যবহারকারীর প্রসঙ্গে সমস্ত লিঙ্ক "ক্লিক" করে । সুতরাং, কোনও অ্যাপ্লিকেশন যা স্টেটস মুছতে জিইটি অনুরোধ ব্যবহার করে, যদিও এর জন্য প্রশাসকের প্রয়োজন হয়, আনন্দের সাথে (অ-দূষিত!) ওয়েব ত্বকের আদেশটি মেনে চলবে এবং এটি যা দেখে তা মুছে ফেলবে ।
বিভ্রান্ত ডেপুটি আক্রমণ
আপনি জিইটি ব্যবহার করেন বা পোষ্টের অনুরোধ নির্বিশেষে একটি বিভ্রান্ত ডেপুটি আক্রমণ (যেখানে ডেপুটি ব্রাউজার হয়) সম্ভব হয় ।
আক্রমণকারী-নিয়ন্ত্রিত ওয়েবসাইটগুলিতে জিইটি এবং পোষ্টগুলি ব্যবহারকারীর মিথস্ক্রিয়া ছাড়াই জমা দেওয়া সমান সহজ ।
কেবলমাত্র দৃশ্যে যে পোস্টটি সামান্য কম সংবেদনশীল তা হ'ল অনেক ওয়েবসাইট যে আক্রমণকারীর নিয়ন্ত্রণে নেই (বলুন, একটি তৃতীয় পক্ষের ফোরাম) স্বেচ্ছাসেবী চিত্রগুলি এম্বেড করার অনুমতি দেয় (আক্রমণকারীকে একটি স্বেচ্ছাসেবক জিইটি অনুরোধ ইনজেক্ট করার অনুমতি দেয়), তবে সমস্ত প্রতিরোধ করে একটি সালিসি পোস্ট অনুরোধ ইনজেকশনের উপায়গুলি স্বয়ংক্রিয় বা ম্যানুয়াল কিনা।
যে কেউ তর্ক করতে পারে যে ওয়েব এক্সিলিটারগুলি বিভ্রান্ত ডেপুটি আক্রমণের উদাহরণ, তবে এটি কেবল সংজ্ঞার বিষয়। যদি কিছু, একটি দূষিত আক্রমণকারী তাই এটি কমই একটি, এই উপর কোন নিয়ন্ত্রণ আছে আক্রমণ , ডেপুটি এমনকি যদি হয় বিভ্রান্ত।
প্রক্সি লগ
প্রক্সি সার্ভারগুলি কোয়েরি স্ট্রিংটি না ছড়িয়ে পুরোপুরি জিইটি ইউআরএল লগ করতে পারে। পোস্ট অনুরোধের পরামিতিগুলি সাধারণত লগ হয় না। কুকিজ উভয় ক্ষেত্রেই লগ ইন হওয়ার সম্ভাবনা নেই। (উদাহরণস্বরূপ)
এটি পোস্টের পক্ষে খুব দুর্বল যুক্তি। প্রথমত, আন-এনক্রিপ্ট হওয়া ট্র্যাফিক সম্পূর্ণরূপে লগ ইন করতে পারে; একটি দূষিত প্রক্সি ইতিমধ্যে এটির প্রয়োজনীয় সমস্ত কিছু রয়েছে। দ্বিতীয়ত, অনুরোধের প্যারামিটারগুলি আক্রমণকারীর সীমিত ব্যবহারের জন্য: তাদের সত্যিকারের যা দরকার তা হ'ল কুকিজ, তাই যদি তাদের কেবলমাত্র প্রক্সি লগ থাকে তবে তারা জিইটি বা পোষ্ট URL- এ আক্রমণ করতে সক্ষম হওয়ার সম্ভাবনা কম।
লগইন অনুরোধগুলির জন্য একটি ব্যতিক্রম রয়েছে: এগুলিতে ব্যবহারকারীর পাসওয়ার্ড থাকে। প্রক্সি লগে এটি সংরক্ষণ করে আক্রমণটির একটি ভেক্টর খোলে যা পোস্টের ক্ষেত্রে অনুপস্থিত। তবে, সরল এইচটিটিপি-তে লগইন করা যাই হোক না কেন সহজাতভাবেই নিরাপত্তাহীন।
প্রক্সি ক্যাশে
ক্যাশে প্রক্সিগুলি জিইটি প্রতিক্রিয়া বজায় রাখতে পারে তবে পোষ্ট প্রতিক্রিয়া নয়। এটি বলার পরে, জিইটি প্রতিক্রিয়াগুলিকে পিওএসটি হ্যান্ডলারের রূপান্তরিত করার চেয়ে কম চেষ্টা করে নন-ক্যাশেযোগ্য করা যায়।
এইচটিটিপি "রেফারার"
যদি কোনও জিইটি অনুরোধের প্রতিক্রিয়া হিসাবে পরিবেশন করা পৃষ্ঠাটি থেকে কোনও তৃতীয় পক্ষের ওয়েবসাইটে নেভিগেট করা হয়, তবে তৃতীয় পক্ষের ওয়েবসাইটটি সমস্ত জিইটি অনুরোধের পরামিতিগুলি দেখতে পাবে।
"তৃতীয় পক্ষের কাছে অনুরোধের পরামিতিগুলি প্রকাশ করে" বিভাগের সাথে সম্পর্কিত, যার তীব্রতা এই পরামিতিগুলিতে উপস্থিত রয়েছে তার উপর নির্ভর করে। পোষ্ট অনুরোধগুলি প্রাকৃতিকভাবে এ থেকে প্রতিরোধী, তবে জিইটি অনুরোধটি কাজে লাগাতে হ্যাকারকে সার্ভারের প্রতিক্রিয়াতে তাদের নিজস্ব ওয়েবসাইটের একটি লিঙ্ক toোকানো দরকার।
ব্রাউজারের ইতিহাস
এটি "প্রক্সি লগগুলি" যুক্তির সাথে খুব মিল: জিইটি অনুরোধগুলি তাদের পরামিতিগুলির সাথে ব্রাউজারের ইতিহাসেও সংরক্ষণ করা হয়। আক্রমণকারী তাদের মেশিনে শারীরিক অ্যাক্সেস থাকলে সহজেই এগুলি পেতে পারে obtain
ব্রাউজার রিফ্রেশ কর্ম
ব্যবহারকারী "রিফ্রেশ" হিট করার সাথে সাথে ব্রাউজারটি একটি জিইটি অনুরোধ পুনরায় চেষ্টা করবে। এটি শাটডাউন পরে ট্যাবগুলি পুনরুদ্ধার করার সময় এটি করতে পারে। কোনও পদক্ষেপ (বলুন, অর্থ প্রদান) এইভাবে সতর্কতা ছাড়াই পুনরাবৃত্তি করা হবে।
ব্রাউজার কোনও সতর্কতা ছাড়াই কোনও পোষ্ট অনুরোধ পুনরায় চেষ্টা করবে না।
ডেটা পরিবর্তনের জন্য কেবল পোষ্ট অনুরোধগুলি ব্যবহার করার এটি একটি ভাল কারণ, তবে এটি দূষিত আচরণ এবং এর ফলে সুরক্ষার সাথে কিছুই করার নেই।
তো এখন আমার কি করা উচিৎ?
- সুরক্ষা-সম্পর্কিত-কারণে মূলত ডেটা পরিবর্তন করতে কেবলমাত্র POST অনুরোধগুলি ব্যবহার করুন।
- লগইন ফর্মগুলির জন্য কেবল পোস্ট অনুরোধগুলি ব্যবহার করুন; অন্যথায় করা আক্রমণ আক্রমণকারীদের পরিচয় করিয়ে দেয়।
- যদি আপনার সাইটটি সংবেদনশীল ক্রিয়াকলাপ সম্পাদন করে তবে আপনার সত্যিই এমন কোনও ব্যক্তির প্রয়োজন যারা জানেন যে তারা কী করছে, কারণ এটি একটি একক উত্তরে beাকা যাবে না। আপনার এইচটিটিপিএস, এইচএসটিএস, সিএসপি, প্রশমিত এসকিউএল ইনজেকশন, স্ক্রিপ্ট ইনজেকশন (এক্সএসএস) , সিএসআরএফ এবং গাজিলিয়ন অন্যান্য জিনিস যা আপনার প্ল্যাটফর্মের সাথে সুনির্দিষ্ট হতে পারে (যেমন বিভিন্ন ফ্রেমওয়ার্কে ভর নিয়োগের দুর্বলতা: এএসপি.নেট এমভিসি , রুবেল অন রেলস ইত্যাদি)। এমন কোনও জিনিস নেই যা "সুরক্ষিত" (শোষণযোগ্য নয়) এবং "সুরক্ষিত নয়" এর মধ্যে পার্থক্য তৈরি করবে।
এইচটিটিপিএসের মাধ্যমে, পোষ্টের ডেটা এনকোড করা থাকে, তবে ইউআরএলগুলিকে কি কোনও তৃতীয় পক্ষের দ্বারা শুকানো যেতে পারে?
না, তাদের শুকানো যাবে না। তবে ব্রাউজারের ইতিহাসে ইউআরএল সংরক্ষণ করা হবে।
পোষ্ট বা জিইটিটিতে পুরোপুরি সংবেদনশীল ডেটা স্থাপন করা এবং সংবেদনশীল তথ্য হ্যান্ডেল করার জন্য সার্ভার সাইড কোড ব্যবহার করা এড়ানো ভাল অভ্যাসটি কি বলা উচিত?
এটি কতটা সংবেদনশীল বা আরও নির্দিষ্টভাবে কীভাবে সংবেদনশীল তা নির্ভর করে। অবশ্যই ক্লায়েন্ট এটি দেখতে পাবেন। ক্লায়েন্টের কম্পিউটারে শারীরিক অ্যাক্সেস সহ যে কেউ তা দেখতে পাবে। ক্লায়েন্টটি এটি আপনার কাছে ফেরত পাঠানোর সময় এটি ছদ্মবেশী করতে পারে। যদি সেগুলি হয়ে থাকে তবে হ্যাঁ, সংবেদনশীল ডেটাটি সার্ভারে রাখুন এবং এটিকে ছেড়ে যাবেন না।