ASP POST回到自身,然后到HTTPS。漏洞?

时间:2011-01-28 15:59:34

标签: http forms asp-classic https

我正在努力从恶作剧中保护网页表单(以前,我们的“联系我们”网页表单会将表单的内容提交给生成电子邮件的ASP,因为URL容易受到我们网站外部页面的攻击是在形式的行动)。为了打击垃圾邮件,我将经典的ASP页面改为POST,然后发布到另一个处理电子邮件的ASP。我使用15 Seconds site上找到的代码来阻止多次提交,并将所有发布的变量更改为会话变量,然后再将其重新发布到HTTPS页面。我在其中包含一个带有会话ID的隐藏输入字段,在HTTPS端的页面上,验证所有字段中是否包含数据,并验证提交的会话ID是否与当前会话ID匹配。

喜欢认为这是非常安全的(没有把它全部放入HTTPS),但我不确定。在发布到HTTPS页面之前,最初的ASP发布回自身会留下一个可以被利用的漏洞吗?我是否过度设计了一部分,而另一部分又开放了?

1 个答案:

答案 0 :(得分:0)

如何使用验证码? 有几个易于实现的脚本用于生成验证码图像,这可以轻松地消除您的垃圾邮件问题。

例如:http://www.tipstricks.org/

Captcha会消除您提到的两种问题 - 它会删除计算机生成的垃圾邮件并阻止同一数据的多次提交,因为每次刷新时验证码图像值都会发生变化。