|
 |
| |
การสร้าง Iframe ในลักษณะแบบนี้จะมีปัญหาด้านความปลอดภัยไหมครับ รบกวนผู้เชี่ยวชาญด้วยครับ |
| |
 |
|
|
 |
 |
|
ตามความเข้าใจของผม คิดว่าไม่น่ามีผลเรื่องความปลอดภัยนะครับ
อย่างของคุณที่ดึง iFram ของธนาคารมาในเว็บเรา แต่เวลาเราล็อคอินส่วนที่ทำงานจิงๆ ก็จะเป็นเว็บของธนาคาร ไม่ได้เกี่ยวอะไรกับหน้าเว็บของเราเลย เรื่องความปลอดภัยในกรณีนี้อยู่ที่เว็บของธนาคารละครับ ไม่เกี่ยวอะไรกับเรา (หากผมเข้าใจผิด ขออภัยครับ แต่ที่อ่านมาจะประมาณนี้)
|
 |
 |
 |
 |
| Date :
2013-11-25 14:50:46 |
By :
arm8957 |
|
 |
 |
 |
 |
|
|
 |
 |
|
 |
 |
| |
|
|
|
| |
|
เสริม : ผมว่า คุณ meannerss รู้คำตอบ แค่ไม่มั่นใจเท่านั้นเองล่ะ .... (จริงเปล่านะ) 555+
|
| |
|
|
| |
| Date :
2013-11-25 14:56:13 |
By :
apisitp |
|
|
| |
|
|
|
|
|
| |
|
|
|
| |
|
|
|
| |
|
ขอบคุณครับ สิ่งที่ผมกลัวคือผมกลัวมันเป็นช่องโหว่ให้ผู้โจมจีเข้ามาสอดแทรกสคริปเช่นดักคีย์ หรืออะไรก็ตามลงบน iframe ของเราอะครับ ตรงนี้เหละครับที่เป็นห่วง . ..
ขอถามต่อนะครับ(อันนี้ไม่เกี่ยวกับความปลอดภัย) พอดีตอนนี้ไม่มีคอม 2 เครื่อง T___T เลยลองไม่ได้
-ไฟล์ iframe.php อยู่ในเครื่อง server บรรจุโค้ดตามภาพใหญ่ดานบน
- server เป็น offline ใช้งานได้แค่ในวง LAN เราเท่านั้น
- Client เป็นคอมผมเองต่อเน็ตปกติ . . . เวลาจะเข้า server พิมพ์ IP เข้ามา
ถามเลยว่าถ้า client เปิดไฟล์ iframe.php มันจะเข้าเน็ตในส่วนของ URL ธนาคารได้หรือไม่นะ. . . . เพราะไฟล์นี้อยู่ใน server ซึ่งเป็น offline . . . . . อิอิ
|
| |
|
|
| |
| Date :
2013-11-25 15:00:45 |
By :
meannerss |
|
|
| |
|
|
|
|
|
| |
|
|
|
| |
|
|
|
| |
|
ตอนนี้ทำการทดลองมาแล้วครับ
- server เซ็ตออฟไลน์
- client ออนไลน์
***ผลการทดลองเมื่อ client เรียก iframe.php ใน server >>>> client สามารถเปิดหน้าเว็บใน iframe ได้แม้ server จะออฟไลน์ก็ตาม 
|
| |
|
|
| |
| Date :
2013-11-25 15:36:36 |
By :
meannerss |
|
|
| |
|
|
|
|
|
| |
|
|
|
| |
|
|
|
| |
|
ผมอุส่าสร้างฟอร์ม ส่งตัวแปรพอจะไปโอนจริงให้ตายเถอะธนาคารเค้าไม่ยอมอยู่ใน iframe น่าไปติด secure อะไรสักอย่างของเค้า . . .
เข้าได้ถึงแค่หน้า log in พอไปต่อบาง bank ก็ไม่ยอมไป บาง bank ก็เปิดแท็บใหม่ให้เราอีก 5 5 5 .
ทำไงดีนะ หรือต้องหาแนวทางใหม่ ทำ add on เป็น tool bar ไว้เลยได้ไหม มันพอจะเป็นไปได้ไหมครับ
จุดประสงค์การใช้งานนี้ : ก็เพื่อไม่ให้ผู้ใช้งานระบบปวดตาสลับกลับไปกลับมาจากหน้าเว็บbank และหน้าระบบของเรา
1. หน้าปกติ
2. มาได้ถึงหน้า log in นี่เหละ เกือบทุกbankเค้าไม่ยอมให้ไปต่อ T^T
|
ประวัติการแก้ไข
2013-11-25 21:05:00
| |
|
|
| |
| Date :
2013-11-25 21:04:09 |
By :
meannerss |
|
|
| |
|
|
|
|
|
| |
|
|
|
| |
|
|
|
| |
|
ทำ add on เป็น tool bar
ผมว่าไม่น่าได้แน่นอนครับ ธนาคารคงไม่ยอมให้ทะลุไปถึงขนาดนั้น ถ้าโปรแกรมเมอร์ทำอะไรได้ขนาดนั้น คงไม่มีธนาคารละครับ
|
| |
|
|
| |
| Date :
2013-11-25 22:06:46 |
By :
arm8957 |
|
|
| |
|
|
|
|
|
| |
|
|
|
| |
|
|
|
| |
|
นายทดสอบ 123456789 มาจากระบบของเรานะครับ ส่วนเว็บธนาคารเป็น iframe ที่เราดึงมา....สรุปว่าวิธีนี้ไม่ผ่านเค้าไม่ยอมให้ทำมันคงจะเข้าข่ายฟิชชิ่ง
ทีนี้เลยคิดว่าเอา c หรือ vb สร้างadd on บนบาร์วเซอของเราเองเพื่อตรึงค่านี้ไว้เวลาเราสลับแท็บ ตัว add on ที่ว่านี้ก็น่าจะเหมือนๆพวกกล่อง search ทั่วๆไปที่มีอยู่ทั่วไปนะครับ จะทำได้ไหมนะ มันจะยากไหมนะ T-T
|
| |
|
|
| |
| Date :
2013-11-25 22:41:49 |
By :
meannerss |
|
|
| |
|
|
|
|
|
| |
|
|
|
| |
|
|
|
| |
|
จุดประสงค์การใช้งานนี้ : ก็เพื่อไม่ให้ผู้ใช้งานระบบปวดตาสลับกลับไปกลับมาจากหน้าเว็บbank และหน้าระบบของเรา
 ตอนนี้แก้ปัญหาเฉพาะหน้า ให้ user. . . ย่อบราวเซอลงไม่ให้เต็มจอ แก้ขัดไปก่อน T___T
หาแนวทางอื่นยังไม่ได้เลยครับ ADD ON บนบราวเซอ มันเหมือนจะยากเกินไปสำหรับผม 
เพื่อนๆสมาชิกท่านใดมีไอเดียดีๆแนะนำช่วยเพิ่มเติมด้วยครับ
1. ภาพการย่อหน้าจอแทน
|
ประวัติการแก้ไข
2013-11-26 17:19:13
| |
|
|
| |
| Date :
2013-11-26 17:17:49 |
By :
meannerss |
|
|
| |
|
|
|
|
|
| |
|
|
|
| |
|
|
|
| |
|
ใช้ curl + regex ทำ gui เอง
|
ประวัติการแก้ไข
2013-11-26 17:35:03
| |
|
|
| |
| Date :
2013-11-26 17:34:39 |
By :
pjgunner.com |
|
|
| |
|
|
|
|
|
| |
|
|
|
| |
|
|
|
| |
|
บางทีมันก็ลำบากไป ลองใช้ jquery modal dialog ดูบ้างหรือยัง ดูซิว่าจะตอบโจทย์ไหม
|
| |
|
|
| |
| Date :
2013-11-26 18:58:43 |
By :
PlaKriM |
|
|
| |
|
|
|
|
|
| |
|
|
|
| |
|
|
|
| |
|
แน่นอนว่า คิดว่ามันบล็อคที่ระดับ บราวเซอร์มั้งคับ ยกตัวอย่าง ในไอเฟรมผมสามารถใส่จาวาสคริปต์ เพิ่ม เมธอด onkeypress ให้ textbox ของ อีกเฟรมได้
ระบบที่ตั้งกระทู้คราวก่อนใช่มั้ยคับ
ถ้าหากใช้ curl แบบนี่ผมว่าเนี่ย มีข้อดีหลายอย่างเลย เช่น
1. auto assign เพิ่มบัญชีต่างธนาคารอัตโนมัติ ของ tmb (ของอันอื่นไม่รู้) เพราะเรามีหมายเลขอยู่ใน db ของเราก่อนแล้วเวลาธนาคารไหนจะใช้ก็ทำให้อัติโนมัติ
2. มี gui ให้ใช้อันเดียวไม่ต้องสับสนระหว่างธนาคาร ยกเว้นบางอย่างที่แตกต่างกันเช่นบางที่ใช้ capchar เราก็ดึงภาพมาด้วย
3. เก็บสถิติว่าวันนี้โอนไปกี่ครั้ง รวมทุกธนาคาร เรียงลำดับดูได้ ไม่ขาดตกบกพร้อง หรือไม่ต้องจดในกระดาษอีก
4. ลดความสับสน ตัวเลขรวม เงินในบัญชีของของแต่ละธนาคาร แสดงในหน้าเดียวกันได้หมด
5. เก็บ log ไว้ต่างหากอีกชั้น ดูรายงาน ตรวจสอบข้อผิดพลาดได้ หากตัวเลขเกิดไม่ตรงกัน (เอ๊ะ โอนผิดคน)
6. เลี้ยง session ไม่ต้องล็อคอินบ่อย บางธนาคารอย่าง tmb ไม่ได้ใช้งานแปปเดียว logout เองซะแล้ว (ธนาคารอื่นก็น่าจะเหมือนกัน)
7. เอาข้อมูลของแต่ละ client มาวิเคราะห์ต่อได้
8. รู้เงินของ client ว่าแต่ละคน มีเก็บไว้เท่าไหร่ เอาไปเล่นพนันหรือไม่ หรือแอบไปคาราโอเกะ
ปล.คิดว่าต้องใช้ ajax เป็นหัวใจ ทำให้การทำงานที่ลื่นไหล แยกรีเควสของแต่ละธนาคารจะได้ไม่ lag
http://www.pjgunner.com
|
ประวัติการแก้ไข
2013-11-26 20:09:47
| |
|
|
| |
| Date :
2013-11-26 20:06:05 |
By :
pjgunner.com |
|
|
| |
|
|
|
|
|
| |
|
|
|
|
|
| |
|
 Load balance : Server 04
|
