Autore Topic: Modifica HTTP HEADER  (Letto 2191 volte)

Maurizio MAD

  • Nuovo arrivato
  • *
  • Post: 4
Modifica HTTP HEADER
« il: 27 Febbraio, 2012, 20:45:12 »
Buona sera, avrei una domanda...
E' possibile evitare la modifica degli header http? Mi spiego meglio:
Avrei un modulo mail di iscrizione dove è possibile inserire alcuni dati, tra cui l'e-mail del mittente. Questo campo è già settato per ricevere solo indirizzi "nome@dominio.it/com" ma è possibile "eludere" il controllo modificando gli header http tramite (esempio) Temper Data; esiste quindi una possibile soluzione?

Chiedo questo perchè continuo a ricevere e-mail spam, probabilmente generate in automatico, dove appunto non compare l'indirizzo mail del mittente, oltre che ad altri dati falsi.

Per maggiori informazioni lascio la versione del software: Website 5 v.7


Grazie per le risposte!

serzio

  • Amministratore
  • Utente storico
  • *****
  • Post: 1706
Re:Modifica HTTP HEADER
« Risposta #1 il: 27 Febbraio, 2012, 22:31:59 »
Buona sera, avrei una domanda...
E' possibile evitare la modifica degli header http? Mi spiego meglio:
Avrei un modulo mail di iscrizione dove è possibile inserire alcuni dati, tra cui l'e-mail del mittente. Questo campo è già settato per ricevere solo indirizzi "nome@dominio.it/com" ma è possibile "eludere" il controllo modificando gli header http tramite (esempio) Temper Data; esiste quindi una possibile soluzione?

Chiedo questo perchè continuo a ricevere e-mail spam, probabilmente generate in automatico, dove appunto non compare l'indirizzo mail del mittente, oltre che ad altri dati falsi.

Per maggiori informazioni lascio la versione del software: Website 5 v.7


Grazie per le risposte!

Purtroppo non ho più una 7  con cui fare prove, ma .... perchè sei convinto che modificando gli header si possa eludere il controllo? ... dovrei verificare il codice js del controllo per saperne di più, ma ... a naso .... direi che c'entra poco .... o forse devo solo rifletterci meglio ....

Maurizio MAD

  • Nuovo arrivato
  • *
  • Post: 4
Re:Modifica HTTP HEADER
« Risposta #2 il: 28 Febbraio, 2012, 14:30:48 »
Purtroppo non ho più una 7  con cui fare prove, ma .... perchè sei convinto che modificando gli header si possa eludere il controllo? ... dovrei verificare il codice js del controllo per saperne di più, ma ... a naso .... direi che c'entra poco .... o forse devo solo rifletterci meglio ....

Perchè è la prima cosa che mi è venuta in mente vedendo una notifica email che mi è arrivata e che non rispettava i parametri di accettazione, ho così verificato e con Temper Data puoi inviare quello che vuoi come mostrato in figura

In questo modo si può modificare qualsiasi campo anche quelli che prevedono l'inserimento di solo 4 cifre (vedi esempio il campo anno).

serzio

  • Amministratore
  • Utente storico
  • *****
  • Post: 1706
Re:Modifica HTTP HEADER
« Risposta #3 il: 28 Febbraio, 2012, 14:46:35 »
Purtroppo non ho più una 7  con cui fare prove, ma .... perchè sei convinto che modificando gli header si possa eludere il controllo? ... dovrei verificare il codice js del controllo per saperne di più, ma ... a naso .... direi che c'entra poco .... o forse devo solo rifletterci meglio ....

Perchè è la prima cosa che mi è venuta in mente vedendo una notifica email che mi è arrivata e che non rispettava i parametri di accettazione, ho così verificato e con Temper Data puoi inviare quello che vuoi come mostrato in figura

In questo modo si può modificare qualsiasi campo anche quelli che prevedono l'inserimento di solo 4 cifre (vedi esempio il campo anno).


Diciamo che hai sfiorato il problema e complimenti per l'intuito.
Il discorso è che l'header http fornisce informazioni al browser e non permette di aggirare la verifica. Tale verifica, e mi riferisco alla verifica dei campi obbligatori, del tipo di dato etc, viene svolta da codice js mediante alcune funzioni presenti nell' x5engine.js che valida i dati e li invia al webserver. Questo per dirti che se io riesco ad inviare al webserver una risposta contenente i dati, ma senza usare il browser che è soggetto all'esecuzione del js, i campi possono tranquillamente essere vuoti .... alla faccia dei controlli. Questo è quello che hai sostanzialmente fatto tu con le tue prove.