URL: https://ssl.opennet.ru/cgi-bin/openforum/vsluhboard.cgi
Форум: vsluhforumID8
Нить номер: 7623
[ Назад ]

Исходное сообщение
"IP-спуфинг - вопрос по безопасности"
Отправлено greenwar , 27-Окт-12 17:33

приветствую
если я возьму в оборот переменную $ip = $ENV{'REMOTE_ADDR'};
и не проверю, то могут ли мне подсунуть некий код вместо IP, который вскроет скрипт?

Содержание

IP-спуфинг - вопрос по безопасности,PavelR, 17:59 , 27-Окт-12
- IP-спуфинг - вопрос по безопасности,greenwar, 18:03 , 27-Окт-12
IP-спуфинг - вопрос по безопасности,Etch, 06:51 , 28-Окт-12
- IP-спуфинг - вопрос по безопасности,greenwar, 11:33 , 28-Окт-12
  - IP-спуфинг - вопрос по безопасности,Etch, 17:05 , 28-Окт-12
    - IP-спуфинг - вопрос по безопасности,greenwar, 17:12 , 28-Окт-12
      - IP-спуфинг - вопрос по безопасности,GentooBoy, 02:38 , 02-Ноя-12

Сообщения в этом обсуждении

"IP-спуфинг - вопрос по безопасности"
Отправлено PavelR , 27-Окт-12 17:59

> приветствую
> если я возьму в оборот переменную $ip = $ENV{'REMOTE_ADDR'};
> и не проверю, то могут ли мне подсунуть некий код вместо IP,
> который вскроет скрипт?
в общем случае - нет.

"IP-спуфинг - вопрос по безопасности"
Отправлено greenwar , 27-Окт-12 18:03

>> приветствую
>> если я возьму в оборот переменную $ip = $ENV{'REMOTE_ADDR'};
>> и не проверю, то могут ли мне подсунуть некий код вместо IP,
>> который вскроет скрипт?
> в общем случае - нет.
меня интересуют все случаи

"IP-спуфинг - вопрос по безопасности"
Отправлено Etch , 28-Окт-12 06:51

Это значение формирует апач (или что там у вас) из данных tcp/ip стека ОС, если вы им обоим доверяете, то проверять смысла нет, а если не доверяете, то ваш скрипт и так в опасности. Только имейте ввиду, что там может оказаться как IPv4, так и IPv6, так что проверять всё-равно наверное понадобится...

"IP-спуфинг - вопрос по безопасности"
Отправлено greenwar , 28-Окт-12 11:33

> Это значение формирует апач (или что там у вас) из данных tcp/ip
> стека ОС, если вы им обоим доверяете, то проверять смысла нет,
> а если не доверяете, то ваш скрипт и так в опасности.
> Только имейте ввиду, что там может оказаться как IPv4, так и
> IPv6, так что проверять всё-равно наверное понадобится...
так "нет смысла" или "понадобится" ?
почему понадобится то?

"IP-спуфинг - вопрос по безопасности"
Отправлено Etch , 28-Окт-12 17:05

> так "нет смысла" или "понадобится" ?
> почему понадобится то?
Зависит от того, что вы делаете потом с этим адресом. Если просто складываете в базу в текстовом виде, то проверять не надо - надо только размер поля в базе увеличить до такого, чтобы весь IPv6 в него помещался. А если ещё какие-то манипуляции с ним производите (или храните в базе не в текстовом формате), то тут вам виднее надо ли его проверять и как именно.

"IP-спуфинг - вопрос по безопасности"
Отправлено greenwar , 28-Окт-12 17:12

>> так "нет смысла" или "понадобится" ?
>> почему понадобится то?
> Зависит от того, что вы делаете потом с этим адресом. Если просто
> складываете в базу в текстовом виде, то проверять не надо -
> надо только размер поля в базе увеличить до такого, чтобы весь
> IPv6 в него помещался. А если ещё какие-то манипуляции с ним
> производите (или храните в базе не в текстовом формате), то тут
> вам виднее надо ли его проверять и как именно.
вообще-то вопрос был: могут ли мне подсунуть опасный код вместо IP?
как я могу быть уверен, что там текстовый вид, без проверки?
а "складывать в базу", что-либо, без проверок это вообще ахтунг.
проверку я делаю строгую, но простую
ipv4 должен выглядеть, как (1-3 цифры, точка) повторить 3 раза и ещё раз 1-3 цифры
у меня вопрос возник: - а не параноик ли я?
пока что толком никто не знает, насколько я понял.

"IP-спуфинг - вопрос по безопасности"
Отправлено GentooBoy , 02-Ноя-12 02:38

Немогут