Door
Mitch X
op 04-01-2006 13:05
gewijzigd op 16-02-2006 19:18
7.913 views
Daar ik zeer nieuwsgierig was naar de verdere veiligheid van PHPhulp na m'n UBB exploit, heb ik nog een leuke ontdekking gedaan.
Een wijze les aan alle personen hier, een cookie is niet te vertrouwen!
Ik heb dmv cookie data toegang tot talloze PHPhulp accounts, iets dat me niet de bedoeling lijkt.
Ik zal zo even een berichtje plaatsen met een ander account om mijn verhaal te bevestingen ;)
vlgns mij kan Mitch dat alleen omdattie ook admin rights heeft.. maar vraag hem wel ff zodra die online komt op MSN :)
Ahja, beetje logica eventueel; alles wordt gecontroleerd in de db huh? Wat als nu de 3 cookies geript zijn? :) ID, level, pass, dan klopt dit ook mooi met de db, en there you go... :)
?
Onbekende gebruiker
04-01-2006 16:04
Het kan nog wel erger hoor, bijvoorbeeld css uitzetten:
![](http://www.phphulp.nl/imgs/layout/mascotte.gif" onload="document.styleSheets[0].disabled=true;)