【发布时间】:2013-11-29 11:52:19
【问题描述】:
好的,我正在做一些课程作业,我的主要目标是创建一个故意易受攻击的 Web 应用程序和一个安全的应用程序来比较两者之间的差异。大多数应用程序我都做得很好,但我被难住了。
我需要创建网络应用程序的一部分,让我可以从网页上购买商品,请注意,用户在网站上购买代币,代币用于在网站上购买商品。
例如,一本书可能需要 100 个代币。用户必须购买 100 个代币才能购买这本书。
在故意易受攻击的 web 应用程序中,我将简单地将“购买”按钮重定向到 ID 为 1 的项目的 /buyItem?id=01。这样做的明显缺点是有人可以向用户发送链接将他们定向到 /buyItem?id=01 的 Web 应用程序会自动向他们收费,从他们的余额中减少代币并将它们重定向到默认网页。我想知道保护此功能的最佳方法是什么,
我考虑过使用引荐来源网址值来确保它们来自正确的页面,但是这些很容易被欺骗。
如果有什么需要解释的,我很乐意解释更多。购买代币等系统很糟糕,但它是课程作业规范的一部分。
【问题讨论】:
标签: php security web-applications shopping spoof