Zabezpecenie

session je bezpečné riešenie, pokiaľ sa nedá ukradnúť

turtlak69

problem je v tom, ze je pre mna novinka, ze sa da session ukradnut

a je to. Som v tvojom účte. Dôkaz máš cez ss. Práva si nebudem dávať ani ti nič nepomením. Verejný dôkaz tiež nedám (je to tvoja súkromná časť webu [aj keď zjavne nie je až tak súkromná] tak ak chceš, zverejni tie fotky čo som ti poslal sám)
adios niekedy nabudúce, ešte mám v rukáve ďalšie tromfy

Mek · Príspevok od používateľa **Mek** » 14 okt 2007, 16:23

moment moment, ukradnut session... to by ma zaujimalo, ako sa to da, resp. ako to zabezpecit aby sa to nedalo... pracujem totiz na jednom projekte, kde je zabezpecenie dolezita vec (ale kde nie je, ze

), pls audiotrack napis ako na to aj pre ostatnych

ehm123

Mek napísal:moment moment, ukradnut session... to by ma zaujimalo, ako sa to da, resp. ako to zabezpecit aby sa to nedalo... pracujem totiz na jednom projekte, kde je zabezpecenie dolezita vec (ale kde nie je, ze ), pls audiotrack napis ako na to aj pre ostatnych

ukradnut sa da tak...napr ako pisal audiotrack cez XSS ze si vlozis javascript kod ktory bude do daneho subora zapisovat session

turtlak69

ano je to tak. stranka nema s bezpecnostou absolutne zhola nic spolocne. ten dokaz kludne pridam. ked niekto vie ako sa tam dostat, tak sa tam dostane a ked nevie, tak mu to bude aj tak nanic

obcas treba priznat aj prehru

XSS je jednoducho krasna zabavka pre tych, co do toho vidia

na screenshote je odfotene, ako sa audiotrack dostal do sekcie, ktora je urcena len pre administratorov. a vlavo je tiez vidno menu, ktore bezny uzivatel nema v dispozicii a samozrejme menu bolo plne funkcne a pouzitelne. SITE HACKED

juho · Príspevok od používateľa **juho** » 14 okt 2007, 18:35

a ze net nieje bezpecny ked uz aj na tomto fore su hackeriovia....
audiotrack ma notebook?

turtlak69

ehm preco by mal mat notebook?

juho: áno, má
warezman: javascript vie zapisovať do súboru? odkedy? ale hej, niečo na ten spôsob
mek: žiadne návody sem nebudem dávať, ak máš veľký brutal záujem vedieť ako som to spravil tak ti pošlem ss. Inak materiálov na svetovom webe (na slovenskom sú iba články od "hackerov" ktoré sú oničom) je dosť

turtlak69

staci hodit do googlu XSS a najde zopar clankov. no je velmi tazke z toho vybrat tie, ktore za nieco stoja. vacsina su len poucky co to je XSS. no niektore odkazy stoja za pozretie.

Mek napísal:moment moment, ukradnut session... to by ma zaujimalo, ako sa to da, resp. ako to zabezpecit aby sa to nedalo... pracujem totiz na jednom projekte, kde je zabezpecenie dolezita vec (ale kde nie je, ze ), pls audiotrack napis ako na to aj pre ostatnych

kazde session ma svoje id. toto id sa prenasa bud ulozenim do cookie alebo pridanim parametra do url. no a ked tam vlozis svoj javascript nemas problem precitat url ani problem precitat cookie.

Mek · Príspevok od používateľa **Mek** » 15 okt 2007, 10:01

aha, mastermind, diky, uz chapem.
ale nie je mi jasne, kam ten javascript tu zistenu URL uklada, aby si ju mohol utocnik neskor pozriet? a okrem toho kazda session po urcitom case uplynie (alebo nie?)
//edit: uh, a, bol som v domneni, ze session ID je zavisle od IP, prehliadaca a dalsich veci, tzn. aj keby som session ID vedel a napasoval tak, aby ho server precital, tak by bolo neplatne. Ale asi to tak nie je?