Şuan aklıma gelen bir şeyi yazıyorum:
Öncelikle kendine özel bir şifreleme algoritması oluşturman gerekli. (En basitinden md5(md5(base64_encode(XXX))) tarzında bişey olabilir.)
1) Kullanıcı bir işlem yapacağı zaman ilk tokenal.php adresine istek gönderir.
2) tokenal.php rasgele bir yazı oluşturur ve veritabanına kullanıcı IP si ile birlikte kaydeder, ardından programa gönderir bu yazıyı.
3) Program bu yazıyı senin oluşturduğun algoritma ile şifreler.
4) Program islem.php ye şifreli yazı ile işlem parametrelerini yollar.
5) islem.php isteği yollayan kişinin IP sini alır ve veritabanında aratır, ve bu IP için oluşturulmuş tokeni alır. Sonra bu tokeni programdaki algoritmayla aynı şekilde şifreler, ve programın gönderdiği şifreli yazı ile aynı mı diye kontrol eder. Uyuşmuyorsa hata verir, Uyuşuyorsa veritabanındaki tokeni siler ve işlemleri yapıp kullanıcıya gönderir.
Birinin programın gönderdiği isteği taklit edebilmesi için, oluşturduğun şifreleme algoritmasını bulması gerekli, bu yüzden bulunamayacak bir algoritma yapman ve programını iyi şifrelemen gerekli. (decompiler lardan ve de-obfuscator lardan koruman gerek.)
Umarım anlatabilmişimdir.
Öncelikle kendine özel bir şifreleme algoritması oluşturman gerekli. (En basitinden md5(md5(base64_encode(XXX))) tarzında bişey olabilir.)
1) Kullanıcı bir işlem yapacağı zaman ilk tokenal.php adresine istek gönderir.
2) tokenal.php rasgele bir yazı oluşturur ve veritabanına kullanıcı IP si ile birlikte kaydeder, ardından programa gönderir bu yazıyı.
3) Program bu yazıyı senin oluşturduğun algoritma ile şifreler.
4) Program islem.php ye şifreli yazı ile işlem parametrelerini yollar.
5) islem.php isteği yollayan kişinin IP sini alır ve veritabanında aratır, ve bu IP için oluşturulmuş tokeni alır. Sonra bu tokeni programdaki algoritmayla aynı şekilde şifreler, ve programın gönderdiği şifreli yazı ile aynı mı diye kontrol eder. Uyuşmuyorsa hata verir, Uyuşuyorsa veritabanındaki tokeni siler ve işlemleri yapıp kullanıcıya gönderir.
Birinin programın gönderdiği isteği taklit edebilmesi için, oluşturduğun şifreleme algoritmasını bulması gerekli, bu yüzden bulunamayacak bir algoritma yapman ve programını iyi şifrelemen gerekli. (decompiler lardan ve de-obfuscator lardan koruman gerek.)
Umarım anlatabilmişimdir.
Verdiğin bilgiler çok işime yaradı,anlattığın yöntemle şifreleme algoritmaları geliştirerek yeni bir token oluşturdum ve kontrolleri sağladım.
Teşekkür ederim,eyvallah.