Ik heb wat bugs gevonden in je site. Aangezien de bugs niet erg irritant zijn indien deze gebruikt worden meld ik deze hier niet direct in die forum. Wil je weten wat deze bugs zijn? laat het me ff weten..
Je kan daarmee je level veranderen in wat je maar wilt. zo kun je berichten editen en deleten en users bannen. Maar je kunt dan niet uitloggen omdat je volgens het systeem toch niet helemaal bent ingelogd.
Je level staat in de DB, en Bas checkt het daarmee.
Dus dat feest gaat niet op.
en toch is het slordig dat opeens als die links van edit, ban en delete verschijnen terwijl je volgens het systeem niet bent ingelogd. Maar je gebruikers naam staat wel links boven in. Ingelogd als: <gebruikersnaam>
Wel grappig, iets wat je niet verwacht van een site als phphulp, waar je er vanuit gaan dat de makers zelf de expert zijn ;). Achja, shit happens. Zelf de beste programmeurs maken fouten of zien wel eens dingen over het hoofd.
Ik ben in ieder geval blij dat er mensen zijn die er geen misbruik van maken, maar het gewoon netjes melden. Ik kan de problemen zelf helaas niet oplossen maar ik hoop wel dat er in de toekomst wat mee gedaan word :).
In het begin is het leuk. "WOW je hebt de admin van site huppeldepup gehacked!' Op een gegeven moment is het saai en geen uitdaging meer. Je ontwikkeld een basic routine om een site te exploiteren en vele sites zijn voor die basic routine al gevoelig. Zodra er ongecodeerde credit cards nummers, databases van webshops, gevoelige informatie endergelijke toegankelijk voor je zijn... Dan is het nog wel interessant ;)
Opzich vind ik het wel interessant, ik heb wat beveiligingen guides liggen en ga tijdens het programmeren wel zoveel mogelijk proberen zo veilig om te gaan met alle user input. Maar sommige dingen zoals het bruteforce van een md5 hash gaat mij net te ver :P.
Opzich vind ik het wel interessant, ik heb wat beveiligingen guides liggen en ga tijdens het programmeren wel zoveel mogelijk proberen zo veilig om te gaan met alle user input. Maar sommige dingen zoals het bruteforce van een md5 hash gaat mij net te ver :P.
Ik heb een programma geschreven voor het brute forcen van md5 hashes met waarde van a-z0-9 . Deze bruteforcer is bijlange na niet perfect maarhet principe is er. aangezien het toetsenbord 26 letters en 10 cijfers heeft zijn dat 36 mogelijkheden per plaats. Indien er hoofdlettergevoeligheid bij komt kijken is dat (26 x2)+10=62 mogelijkheden per locatie. dat houdt dus in dat als een wachtwoord 8 tekens lang is en wilt de md5 has hiervan brute forcen dat hij 62^8 (ook wel 62x62x62x62x62x62x62x62) mogelijkheden (ongeveer) moet afgaan wilt hij de juiste combinatie tegen komen. Het brute forcen van 5 tekens lang gaat nog wel. Maar daarboven wordt het gekke werk!
