Nonces Yararsız mı?

11

Bu muhtemelen bir noob sorusu ANCAK beni duymak - kazıyıcı (phpcurl kazıyıcılar vb.) Gibi şeylerden korumak için Nonce kullanmanın amacı değil mi? Ama benim Nonce'm belgenin başına şöyle yazdırılıyor:

/* <![CDATA[ */
var nc_ajax_getpost = {
    ...stuff...
    getpostNonce: "8a3318a44c"
};
/* ]]> */

Eğer hızlı bir kazıyıcı inşa edersem, o sayfadan sadece nonce değerini alırdım ve daha sonra POST'umda kullanırdım ... bir Nonce kullanmanın bütün egzersizini işe yaramaz hale getirirdi ...

Burada ne eksik?

security  nonce 
Adrian
kaynak
2
Nonces'in içerik kazıma ile ilgisi yoktur, bu fikri nereden aldınız? ..
Rarst
K o zaman değirmen koşusu örneğini kullanmama izin verin. Nonce, güvenlikle ilgili bir saldırıyı önlemek için kullanılıyor ... saldırgan, halka açık olarak gösterildiğinden web sitesinden nonce'yi hala alabilir ... wtf?
Adrian
1
Muhtemelen bunu nonce hakkında daha genel bir soruya çevirmeniz mantıklı olacaktır. Yorumlar için çok fazla ve kazıma ile ilgili ilk ifadeler geçerli değildir.
Rarst

Yanıtlar:

16

Notlar, oturum açan her kullanıcı için benzersizdir. Oturum açmış bir kullanıcının çerezlerini almadığınız sürece nosyonlarını kazıyamazsınız. Ancak bir kullanıcının çerezleri varsa, kimliğini zaten çalmışsınızdır ve ne istersen yapabilirsin.

Nonces, kullanıcıların bir bağlantıyı tıklatarak veya bir form göndererek yapmak istemedikleri bir şey yapması için aldatılmaya karşı koruma sağlamak içindir. Böylece, kendileri, saldırganı değil, bu eylemi (istemeden) gerçekleştirirler.

scribu
kaynak
2

http://en.wikipedia.org/wiki/Cryptographic_nonce

"Güvenlik mühendisliğinde nonce, kriptografik iletişimi imzalamak için yalnızca bir kez kullanılan rasgele bir sayıdır. ... Eski iletişimin tekrar saldırılarında tekrar kullanılamamasını sağlamak genellikle rastgele bir kimlik doğrulama protokolüdür."

Amaç, tekrarlanan verilerin gönderilmesini durdurmaktır. Size özel tek kullanımlık benzersiz bir tanımlayıcı oluşturursunuz, böylece veri gönderdiğinizde yalnızca bir kez yapılabilir. Sitenize göz atmakla ilgisi yoktur. Site kazıma budur. Bir kazıma botu ile bir trol botu (Google gibi) arasında nasıl bir fark vardır?

TCBarrett
kaynak
9
WordPress nonces'in bir kereden fazla kullanılabileceğini unutmayın. Dolayısıyla, tekrarlanan gönderimle de bir ilgisi yoktur, belirli bir kullanıcının belirli bir nesneye yönelik belirli bir işlem yapmasının amacını doğrulamakla ilgilidir.
Rarst
3
@Rarst - nonce yeniden kullanımı hakkında mükemmel bir nokta ve ne yazık ki kaynak kodu ve kodeksinin kendisi bir kez kullanım sadece anahtar olduğunu gösterir. codex.wordpress.org/Function_Reference/wp_create_nonce - Bu sayıların birden fazla doğrulanmayacağını varsayan bir özellik geliştirdiğinizde berbat . :(
Marcus Pope
Sitemizi kullandığınızda şunları okuyup anladığınızı kabul etmiş olursunuz: Çerez Politikası ve Gizlilik Politikası.
Licensed under cc by-sa 3.0 with attribution required.