testuje kod cmsa zbudowanego na php + json, co polecacie sprawdzac?
testuje kod cmsa zbudowanego na php + json, co polecacie sprawdzac?
"if you don't know where to start, fuzz the sh*t out of it" -- anonymous
JSON to tylko interfejs/API, podatnosci beda takie same jak w aplikacjach... poza tym jesli app uzywa JSON do komunikacji z backendem to mozesz rownie dobrze wlaic w aplikacje tymi samymi metodami co zawsze i patrzec kiedy padnie (zamiast szukac specjalizowanych narzedzi gadajacych JSON)...
hint:
tcpdump to Twoj przyjaciel :-) ja nagryma caly ruch gdy testuje cos - czasami mozna znalezc niezle kwiatki w ten sposob (np IPSy wysylajace RST jesli request zawiera odpowiedni string itd)
ctrl-alt-del.cc - soft reset site for IT admins and other staff :-)
Sprawdź czy dane wysyłane w JSON są odpowiednio upakowane.
używaj kolejnych kluczy numerycznych, wtedy ramka JSON jest najmniejsza..
często lepiej dołożyć brakujący indeks i wrzucić w niego np. 0, niż stracić na narzucie spowodowanym koniecznością zapisania wszystkich indeksow w przypadku brakującego klucza psującego kolejność :P
Sorry, ostatnio bawie się w optymalizowanie wszystkiego co się da, więc naszło mnie żeby napisać coś o JSONie skoro już ktoś pyta..
Co to ma wspólnego z bezpieczeństwem? Nie wiem. Nie wiem czy JSON może mieć cokolwiek wspólnego z bezpieczeństwem, na pewno nie bezpośrednio.
światło mądrości oświetla drogę z nikąd do nikąd
Oj moze miec, moze...
JSON jest najczesciej uzywany jako API... O ile ludzie uzywaja framework'ow do robienia stron i aplikacji, wiekszosc z tych framework'ow a dokladnie ich bibliotek nie dba o bezpieczenstwo backend'u a tylko o frontend (czyli to co pokazuje sie na WWW - HTML i okolice). Jesli masz JSON/SOAP/REST to koniecznie trzeba sprawdzic jak dziala ich obsluga - nie raz znajdziesz przypadek gdzie aplikacja webowa jest super, szybka, bezpieczna i w ogole... ale uzywa API do dostepu do danych i to API jest dziurawe jak ser szwajcarki. Wszystko zalezy od implementacji API - framework dziala wiec jak JS na stronach (wszyscy wiemy jak bardzo skuteczna jest filtracja wejscia robiona client-side, prawda?) :->
To tak jak z fartuchami szpitalnymi - wydaje sie ze daja pelne pokrycie, do czas az sie nie odwrocisz (pokazesz API)
ctrl-alt-del.cc - soft reset site for IT admins and other staff :-)
JSON to tylko metoda enkapsulacji danych, stwierdzenie że aplikacja ma "błędy JSON" jest nieprawidłowe.
Ja za błąd JSON mógłbym uznać np. błąd w funkcji parsującej...
Chodzi bardziej o błędy w interfejsie obsługującym zapytania AJAX...
Określanie ich mianem "błędów JSON" jest zbyt mocnym uproszczeniem.
światło mądrości oświetla drogę z nikąd do nikąd
dzięki za odpowiedzi. Wobec tego myślę, że ta książka Bezpieczestwo aplikacji tworzonych w technologii Ajax - Billy Hoffman, Bryan Sullivan - atrakcyjna cena, opis ksiki, recenzje i opinie - Wysylkowa.pl po doczytaniu więcej mi pomoże (jak źle myślę, to proszę o korektę)
btw: TQM pięknie wyszedłeś na tym zdjęciu ;-)
Hahaha :-)
Ciesze sie ze Ci sie podoba ale to nie moje "API" ;-P
ctrl-alt-del.cc - soft reset site for IT admins and other staff :-)