Websecurity training

Door Onbekende gebruiker op 05-06-2007 19:48

53 views

Hey mensen,
Laatst had ik een websecurity training gedaan. Erg interessant en je leert er veel van. Daarom wilde ik voorstellen, dat ik de challenges hier plaats en dan dat jullie ze probeert te kraken.
De challenges die hier geplaatst worden, zijn door mij al gedaan en zijn dus ook te doen.
Misschien dat de newbies iets leren? Ook als mensen nog trainingen hebben, plaats ze hier! Wanneer je verbeteringen ziet in het doel van dit topic, post ze ook hier :P.

De aftrap:
Plaats de exploit methode voor deze beveiliging:

<?php
    function checkAdmin($cookie){
        if($cookie == 1){
            return "yes";
        }
        else{
            return 0;
        }
    }
    
    if(!isset($_COOKIE['admin'])){
        setcookie("admin",0);
    }
    else{
        $admin = $_COOKIE['admin'];
            $admin = checkAdmin($admin);
            if($admin == "yes"){
                // Correct
            }
            else{
                // Incorrect
            }
    }
?>

EDIT: Typo

Sebastiaan Blaas

05-06-2007 22:06

@gijs de vraag is zoek de exploit niet de oplossing :)

Daan

05-06-2007 23:11

Post van password setten naar:


' \n DELETE FROM users

Heb het niet getest, maar volgens mij klopt hij ongeveer.

Onbekende gebruiker

05-06-2007 23:17

@Daan
Dat is wel het laatste wat je wilt. De users tabel leeggooien. Je wilt juist naar zonder op te vallen. Daarnaast is zoiets is min-of-meer gevaarlijk te noemen je (kan) namelijke enorme schade toebrengen aan een website, dat mij niet de bedoeling lijkt.

Reageren

Inloggen om te reageren