Bug: Continued
Pagina: 1 2 3 ... 5 6 7 volgende »
Een wijze les aan alle personen hier, een cookie is niet te vertrouwen!
Ik heb dmv cookie data toegang tot talloze PHPhulp accounts, iets dat me niet de bedoeling lijkt.
Ik zal zo even een berichtje plaatsen met een ander account om mijn verhaal te bevestingen ;)
// Edit : Exploit weggehaald :+
Gewijzigd op 16/02/2006 19:18:00 door Mitch
Gesponsorde koppelingen:
Dit is dus een groot probleem daar ik ook gewoon instellingen kan wijzigen >:)
/me logt nu weer uit :P
Oorspronkelijke eigenaar: Ik vind het niet kunnen :P
Gewijzigd op 05/01/2006 00:50:00 door Willem Jan Z
Nu tevreden?
Meer verzoekjes doe ik niet ;)
/me heeft niets verandert (a) en logt weer uit :)
Hoe krijg je dit voor elkaar? Wat is er aan de hand? Is het op te lossen door alleen sessies te gebruiken? is het een php bug of een phphulp.nl bug :P.
Mitch:
Allereest mijn excuses aan de eigenaar van dit account, maar het gaat om het idee ;)
Dit is dus een groot probleem daar ik ook gewoon instellingen kan wijzigen >:)
/me logt nu weer uit :P
Dit is dus een groot probleem daar ik ook gewoon instellingen kan wijzigen >:)
/me logt nu weer uit :P
Instellingen wijzigen? Dus het wachtwoord kan je ook achterhalen? :) Want op de instellingen pagina moet je toch je huidige wachtwoord invoeren vooraleer alles opgeslagen wordt? :)
maar indd
phphulp kent veel beveiligingslekjes...
ik kan me nickname wel onzichtbaar en onklikbaar maken :p
@ Rafael
't is toch md5() oid
dus hoe zou je daar achter kunnen komen?
neem aan dat bassie het ww niet in een cookie zet en zeker niet on-ge-encrypt (jullie snappen dat laatste wel toch) ;)
Gewijzigd op 04/01/2006 13:29:00 door Erik Rijk
Erik:
@ Rafael
't is toch md5()
dus hoe zou je daar achter kunnen komen?
neem aan dat bassie het ww niet in een cookie zet en zeker niet on-ge-encrypt (jullie snappen dat laatste wel toch) ;)
't is toch md5()
dus hoe zou je daar achter kunnen komen?
neem aan dat bassie het ww niet in een cookie zet en zeker niet on-ge-encrypt (jullie snappen dat laatste wel toch) ;)
Net daarmee dat ik me afvroeg hoe Mitch dan de gegevens kan wijzigen... Verder heb ik je spulletje eens getest, een spatie als nickname works great :|
Erik:
vervang die 'jes' maar door 'ken' ;)beveiligingslekjes...
Code (php)
1
<?phpinfo();?>
dat is ook niet helemaal de bedoeling...want je nickname ziet er dan toch iets anders uit.
je kan je nickname ook:
<ul><li>Naam</li></ul> maken
maar wordt zo'n zooitje bij actieve leden
Gewijzigd op 04/01/2006 13:34:00 door Erik Rijk
De [img/] kan je trouwens ook leuk uitbuiten:
had ik vorige ook gedaan :P
zet nog ff een <br> tussen admin en je msg na 500 posts
Gewijzigd op 04/01/2006 13:57:00 door Erik Rijk
Pagina: 1 2 3 ... 5 6 7 volgende »
