Zend URL POST安全漏洞

时间:2013-10-10 21:04:39

标签: security url zend-framework post

我是Zend框架和PHP的新手,但是我读过的内容并没有帮助我弥补我们在Chrome上使用插件POSTMAN发现的安全漏洞。

基本上我可以对从MySQL数据库中检索信息的URL执行原始POST, 喜欢:

POST to foo.local/workspace/execute-task

[{"Contract":"f7f5d77a2fe0fda2df3a93xxxxa9b93","Packet":{},"Options":{}}]

返回

[
    {
        "RequestId": 0,
        "Hash": "f7f5d77a2fe0fda2df3a93xxxxa9b93",
        "Status": "Success",
        "Message": "List retrieved.",
        "Data": []
    }
]

即使退出后也是如此。登录时生成的会话令牌具有useonce的生命周期,但是仍然可以在站点外部发布一次

因为我还在学习ZEND php,所以我希望有人可以给我一个关于如何添加到从DB调用列表的特定模块的提示,如果我在这里是隐晦的那就是为了安全缘故。

我是否可以添加到返回列表的模块的快速修复程序?

我有很棒的谷歌技能,但如果你不确定谷歌的用途是很难的(我甚至在我的追求中遇到过一些宗教网站,真实的故事)。

如果我能加上这一点,请告诉我,我们将不胜感激。

0 个答案:

没有答案