Top-Themen

AppleEntwicklungHardwareInternetLinuxMicrosoftMultimediaNetzwerkeOff TopicSicherheitSonstige SystemeVirtualisierungWeiterbildungZusammenarbeit

Aktuelle Themen

Administrator.de FeedbackApache ServerAppleAssemblerAudioAusbildungAuslandBackupBasicBatch & ShellBenchmarksBibliotheken & ToolkitsBlogsCloud-DiensteClusterCMSCPU, RAM, MainboardsCSSC und C++DatenbankenDatenschutzDebianDigitiales FernsehenDNSDrucker und ScannerDSL, VDSLE-BooksE-BusinessE-MailEntwicklungErkennung und -AbwehrExchange ServerFestplatten, SSD, RaidFirewallFlatratesGoogle AndroidGrafikGrafikkarten & MonitoreGroupwareHardwareHosting & HousingHTMLHumor (lol)Hyper-VIconsIDE & EditorenInformationsdiensteInstallationInstant MessagingInternetInternet DomäneniOSISDN & AnaloganschlüsseiTunesJavaJavaScriptKiXtartKVMLAN, WAN, WirelessLinuxLinux DesktopLinux NetzwerkLinux ToolsLinux UserverwaltungLizenzierungMac OS XMicrosoftMicrosoft OfficeMikroTik RouterOSMonitoringMultimediaMultimedia & ZubehörNetzwerkeNetzwerkgrundlagenNetzwerkmanagementNetzwerkprotokolleNotebook & ZubehörNovell NetwareOff TopicOpenOffice, LibreOfficeOutlook & MailPapierkorbPascal und DelphiPeripheriegerätePerlPHPPythonRechtliche FragenRedHat, CentOS, FedoraRouter & RoutingSambaSAN, NAS, DASSchriftartenSchulung & TrainingSEOServerServer-HardwareSicherheitSicherheits-ToolsSicherheitsgrundlagenSolarisSonstige SystemeSoziale NetzwerkeSpeicherkartenStudentenjobs & PraktikumSuche ProjektpartnerSuseSwitche und HubsTipps & TricksTK-Netze & GeräteUbuntuUMTS, EDGE & GPRSUtilitiesVB for ApplicationsVerschlüsselung & ZertifikateVideo & StreamingViren und TrojanerVirtualisierungVisual StudioVmwareVoice over IPWebbrowserWebentwicklungWeiterbildungWindows 7Windows 8Windows 10Windows InstallationWindows MobileWindows NetzwerkWindows ServerWindows SystemdateienWindows ToolsWindows UpdateWindows UserverwaltungWindows VistaWindows XPXenserverXMLZusammenarbeit

Kann man eine Datenbank aufgrunf von jQuery angreifen?

Frage Entwicklung HTML

Mitglied: Yanmai

Yanmai (Level 1) - Jetzt verbinden

19.01.2017 um 16:28 Uhr, 226 Aufrufe, 2 Kommentare

Hallo ihr Administratoren,
auf meiner Website habe ich ein schönes Registrierungsformular, die Daten werden über jQuery zu dem Server gesendet. Außerdem habe ich auch einen Captcha von Google als Sicherheit drauf, der den Datenbankserver vor Bots schützen soll.

Wenn ein User jetzt aber alle Parameter sieht, kann er ja einfach ein Programm schreiben, was die Parameter enthält und den public Key, oder nicht? Der punlic Key wird in dem PHP Script nochmal extra überprüft, geht das so leicht, wie ich mir das jetzt vorstelle?

01.
if($captcha != '') { 
02.
				$secret = "..."; 
03.
				$ip = $_SERVER["REMOTE_ADDR"]; 
04.
				$var = file_get_contents("https://www.google.com/recaptcha/api/siteverify?secret=$secret&response=$captcha&remoteip=$ip"); 
05.
				$array = json_decode($var, true); 
06.
				 
07.
				if($array['success']) { 
08.
					$captchaSuccess = 1; 
09.
				} else { 
10.
					$captchaSuccess = 0; 
11.
12.
			} else { 
13.
				$captchaSuccess = 0; 
14.
			}
Und erst wenn die Variable $captchaSuccess den Wert 1 hat, werden die Daten in die Datenbank eingetragen. Aber über die Browser Konsole kann ja jeder User - der halbwegs Ahnung hat - den public Key rauskriegen und diesen dann in ein Programm einfügen, oder?
Mitglied: Demig0d
19.01.2017 um 16:51 Uhr
Welche Variable in deinem Skript nennst du im Text den Public Key? Generell muss eine Nutzereingabe im Backend geprüft werden, da ein Angreifer ja, wie du selbst bemerkt hast, das Frontend kontrolliert.
Bitte warten ..
Mitglied: Yanmai
19.01.2017 um 17:26 Uhr
Naja der captcha läuft über Google. Dazu habe ich einen public und einen private key. Den public key kann man mit der Browser Console herauskriegen. Wie kann man dies nicht sicherer machen?
Bitte warten ..
Ähnliche Inhalte
VB for Applications
gelöst Feld mit CSV-Daten aus MySQL-Datenbank einlesen (3)

Frage von Andreas.HH1 zum Thema VB for Applications ...

Debian
Zabbix Datenbank ist voll gelaufen unter Linux (1)

Frage von WinLiCLI zum Thema Debian ...

Datenbanken
Datenbank Abfrage sehr langsam! Bitte um Hilfe (12)

Frage von samet22 zum Thema Datenbanken ...

Datenbanken
Skript - Oracle Datenbank (1)

Frage von tweety2007 zum Thema Datenbanken ...

Neue Wissensbeiträge
Sicherheits-Tools

Sicherheitstest von Passwörtern für ganze DB-Tabellen

(1)

Tipp von gdconsult zum Thema Sicherheits-Tools ...

Peripheriegeräte

Was beachten bei der Wahl einer USV Anlage im Serverschrank

(9)

Tipp von zetboxit zum Thema Peripheriegeräte ...

Windows 10

Das Windows 10 Creators Update ist auf dem Weg

(6)

Anleitung von BassFishFox zum Thema Windows 10 ...

Heiß diskutierte Inhalte
Exchange Server
Exchange 2016 Standard Server 2012 R2 Hetzner Mail (36)

Frage von Datsspeed zum Thema Exchange Server ...

Batch & Shell
gelöst ZIP-Archive nach Dateien durchsuchen und Pfade ausgeben (33)

Frage von evinben zum Thema Batch & Shell ...

Verschlüsselung & Zertifikate
Mit Veracrypt eine zweite interne (non-system) Festplatte verschlüsseln (10)

Frage von Bernulf zum Thema Verschlüsselung & Zertifikate ...

C und C++
Methode multiple return values (8)

Frage von mayho33 zum Thema C und C ...