Admin vs user

gwixt napísal:?? a to mi vysvetli ako by sa ti to podarilo...

takto sa "hackovalo" phpbb az do verzie 2.16, iba si si upravil cookies na ID = 2 co je default admin id a voala

gwixt

t0m4s3 napísal:takto sa "hackovalo" phpbb az do verzie 2.16, iba si si upravil cookies na ID = 2 co je default admin id a voala

cookies a session je imho daco ine (koniec koncov session funguje aj ked su cookies vypnute

) .. session je ulozene na serveri a kazde spojenie (ip:socket) ma unikatne sessionID (a celu session vlastne) ... jedine ze by sa ti podarilo zmenit si nejako SID na SID aktualne prihlaseneho admina a server ti to zozral .. inak ma nic nenapada

jj presne v tom spocivala finta "hackovania" stacilo si v cookie zmenit sessionid...

gwixt

mastermind napísal:jj presne v tom spocivala finta "hackovania" stacilo si v cookie zmenit sessionid...

ale to si najprv musel zistit to sid .... a navyse tu ti to ze si to budes prihlasenych uzivatelov ukladat do DB tiez nepomoze ... tak ako sa to da? a ako sa tomu branit?

ako som napisal. do db to ukladam kvoli tomu aby som nemusel pri kazdom refreshi posielat request cez ldap.

VIP721

srandisti... zase vam nerozumiem ani pol slova.... imho dockam sa od vas kodu ktory bude nezpecny rychly a staci ho pridat k tomu co mam teraz??????

programator

t0m4s3 napísal:takto sa "hackovalo" phpbb az do verzie 2.16, iba si si upravil cookies na ID = 2 co je default admin id a voala

No a najlepsie na tom bolo to, ze ten session bolo v kazdo fore rovnake, to sa generovalo myslim nejako podla velkosti suborov... takze sa trosku pozmenilo a islo sa..