Ik heb wat bugs gevonden in je site. Aangezien de bugs niet erg irritant zijn indien deze gebruikt worden meld ik deze hier niet direct in die forum. Wil je weten wat deze bugs zijn? laat het me ff weten..
ok wat jij wilt. Je kunt berichten naar jezelf sturen. Je kunt bezoekers van deze pagina direct doorsturen naar andere sites. Je kunt ingelogd zijn zonder sessie dmvm van de cookies te manipuleren. Je kan daarmee je level veranderen in wat je maar wilt. zo kun je berichten editen en deleten en users bannen. Maar je kunt dan niet uitloggen omdat je volgens het systeem toch niet helemaal bent ingelogd. Het wachtwoord staat d.m.v. een md5 hash in je cookie. ALs ik het cookie steel en de md5 hash terug brute force of opzoek in een md5hash database op internet heb ik een user account gestolen. Niet echt zoals het hoort dacht ik zo....
Dat is inclusief jouw cookie en dan zou ik als admin ingelogd kunnen worden. Ik kan het uitvoeren als ik wil. Maar dat ga ik niet want ik heb er niks aan om deze site te hacken. Genoeg andere sites te exploiteren ;)
Was dit al bekend? Doe er dan wat aan voordat iemand anders er wel gebruik van maakt...
?
Onbekende gebruiker
11-12-2005 17:14
weet iemand een scriptje (html) aar mee je een pagina van je site met een wachtwoord kan beveiligen??? een niet al te moeilijke AUB!!
Wil je aub het antwoord mailen????
Heel erg thanxxx alvast ;)
je hebt daarvoor een server side language nodig. Dat betekent dat de de source op de server blijft en wordt geparsed. de output gaat naar jou browser als html. met javascript kun je beveiligen. Alleen is deze client sided. De client (bezoeker) kan dus in de source kijken van je beveiliging.
Je kan daarmee je level veranderen in wat je maar wilt. zo kun je berichten editen en deleten en users bannen. Maar je kunt dan niet uitloggen omdat je volgens het systeem toch niet helemaal bent ingelogd.
Je level staat in de DB, en Bas checkt het daarmee.
Dus dat feest gaat niet op.
Wel grappig, iets wat je niet verwacht van een site als phphulp, waar je er vanuit gaan dat de makers zelf de expert zijn ;). Achja, shit happens. Zelf de beste programmeurs maken fouten of zien wel eens dingen over het hoofd.
Ik ben in ieder geval blij dat er mensen zijn die er geen misbruik van maken, maar het gewoon netjes melden. Ik kan de problemen zelf helaas niet oplossen maar ik hoop wel dat er in de toekomst wat mee gedaan word :).
?
Onbekende gebruiker
11-12-2005 17:25
Anls ze hier nou een betere post parser zouden gebruiken, zou dit probleem ook opgelost zijn ook.
