Cuidado com os parâmetros passados pela URL

(2 votos, média: 5.00 de 5)

 Loading ...

Tudo bom pessoal?

Hoje vou falar algo muito simples mas que faz muita diferença em um sistema(web): Parâmetros passados pela URL.

Recentemente recebi acesso full por sete dias à um site de ensino de inglês(prefiro não falar qual é o site). Com o acesso full, os usuários podem fazer downloads dos ‘podcasts’ das aulas… que são arquivos MP3 onde são apresentadas situações cotidianas(em inglês), mas, tudo muito bem explicado pelo professor.
Mas, os downloads tem um limite: 14 downloads por mês.

Fui fazer um download, e para minha surpresa, o meu ID do banco de dados é passado via GET pela URL. Então pensei: Vou testar a segurança do site!

Adivinhem o que aconteceu?

Sim! se vc respondeu que a validação para saber se ja baixei 14 arquivos é feita por este parâmetro você acertou em cheio!!!

Então lembre-se sempre: NUNCA PASSE PARÂMETROS IMPORTANTES PELA URL.

OBS: Alterando o meu ID na URL para 1, eu poderia baixar todos os arquvos do site(mp3, pdf das aulas…). Pois pensei: normalmente, o primeiro usuário do banco de dados é do dono do site ou do usuário administrador.

Espero ter ajudado!