Форумы / National / Turkish / Eski Konular / Cotontide GET_ CSRF Hayal etmek

MecTruy
#1 28.08.2012 13:37

Cotontide CSRF açığı oluşurmu ?

Kocaman bir şekilde Hayır diyelim buna ! sebebi ise çok basit ve yalındır, cotonti üyenin her girişinde yeni bir session key üretir ve üye çıktığı zamanda bu keyi öldürür, yani her girişte hep yeni session key. Cotontinin tüm sayfalarına bu session include edilir ve bu key olmadan o sayfa hiçbirşekilde çalışmaz CSRF ile o sayfadan o keyi silip o csrf yi çalıştıramazlar. Admin'in o anki session keyinide bulamazlar, bu yüzden cotonti'de uzaktan csrf çalıştıramazlar

Ama

Cotonti kendi üyeliğiniz üzerinden post method ile çeşitli csrf ataklarına mağruz kalırmı henüz bilinmemektedir, bu yönde incelemeleri olan arkadaşlar varsa yazabilir daha güvenli bir cotonti cms için.

Kurta sormuşlar senin ensen neden kalın ? diye, Kendi işimi kendim yaparımda ondan demiş...