PHPhulp.nl PHPhulp.nl
35k+ leden Over PHPhulp Offerte opdracht Contact
?

Websecurity training

Door Onbekende gebruiker op 05-06-2007 19:48
54 views
Hey mensen,
Laatst had ik een websecurity training gedaan. Erg interessant en je leert er veel van. Daarom wilde ik voorstellen, dat ik de challenges hier plaats en dan dat jullie ze probeert te kraken.
De challenges die hier geplaatst worden, zijn door mij al gedaan en zijn dus ook te doen.
Misschien dat de newbies iets leren? Ook als mensen nog trainingen hebben, plaats ze hier! Wanneer je verbeteringen ziet in het doel van dit topic, post ze ook hier :P.

De aftrap:
Plaats de exploit methode voor deze beveiliging:
<?php
    function checkAdmin($cookie){
        if($cookie == 1){
            return "yes";
        }
        else{
            return 0;
        }
    }
    
    if(!isset($_COOKIE['admin'])){
        setcookie("admin",0);
    }
    else{
        $admin = $_COOKIE['admin'];
            $admin = checkAdmin($admin);
            if($admin == "yes"){
                // Correct
            }
            else{
                // Incorrect
            }
    }
?>


EDIT: Typo
- SanThe -
05-06-2007 19:58
GaMer13 schreef op 05.06.2007 19:48
Plaats de exploit methode voor deze beveiliging:

Wat betekent dit precies?
?
Onbekende gebruiker
05-06-2007 20:00
Op welke manier kun je dus admin status krijgen.
?
Onbekende gebruiker
05-06-2007 20:16
cookie aanpassen.
hehe das logisch
Alfred -
05-06-2007 20:18
Door een cookie te faken.
?
Onbekende gebruiker
05-06-2007 20:20
Webmakerij schreef op 05.06.2007 20:16
cookie aanpassen.
hehe das logisch

Juist ja, mogelijk volgens verschillende wegen. Hier eentje:
FireFox > Plug-in: Cookie Editor en dan editen.

Volgende:
Hoe is dit te misbruiken.
<?php
    $year = $_POST['year'];
    system("cal " . $year);
    // Calender scriptje :)
?>


EDIT: Opdracht toegevoegd :P
- -
05-06-2007 20:23
Met de Firefox add on Edit cookies
a
aaa Trump
05-06-2007 20:28
En wat moeten we daar mee doen?

Datum wijzigen?

Post veranderen?
Hack's @ Post zetten?
Alfred -
05-06-2007 20:28
$_POST manipuleren.
?
Onbekende gebruiker
05-06-2007 20:29
robin schreef op 05.06.2007 20:28
En wat moeten we daar mee doen?

Datum wijzigen?

Post veranderen?
Hack's @ Post zetten?

Sorry, was opdracht vergeten erbij te zetten.

Maar nee, niet de post manipuleren. Dan kun je nog niks.
Alfred -
05-06-2007 20:31
GaMer13 schreef op 05.06.2007 20:29
Sorry, was opdracht vergeten erbij te zetten.

Maar nee, niet de post manipuleren. Dan kun je nog niks.


Als je de $_POST waarde manipuleert, kan je invoeren wat je wil, en daar ben je volgens jou niks mee? Right :-)

Reageren

Inloggen om te reageren