Hacknutie prihlásenia na webe

WebScript · Napísal **WebScript**: 15.01.2010 16:01 | Hacknutie prihlásenia na webe

Chcel by som sa vás opýtať že ako sa dá stránka hacknúť keď keď dávam na začiatok všetkých zaheslovaných stránok:

Kód:

<?php
session_start();
if ($_SESSION['authuser'] != 1) {
   echo "<p>Nemáte oprávnenie pre vstup do AdminPanelu</p>\n";
   exit();
   }
?>

Demo je tu wsbcms.webscript.biz/admin.php
A prihlásenie : http://wsbcms.webscript.biz/adminlogin.php
Vedel by mi niekdo poradiť že ako mám moje skripty akým zaheslovacím skriptom ochrániť(viac stránok)?
Ďakujem

p360t · Napísal **p360t**: 15.01.2010 16:31 | Hacknutie prihlásenia na webe

Možností je neúrekom, preštuduj si OWASP, konkrétnejšie WebGoat.

pilná lama glama

hlave sniff a vobec SR system
edit
upravil by som
meno+
heslo+
serverovy cas/algoritmus

mylan · Napísal **mylan**: 15.01.2010 18:07 | Hacknutie prihlásenia na webe

Všeobecne je však najmä potreba ošetriť skripty proti základným praktikám ako: SQL injection, Cross Site Scripting, session hijacking, ... Na tieto veci ty vo svojich kódoch absolútne kašleš!

Povinné čítanie:

http://ferruh.mavituna.com/sql-injection-cheatsheet-oku/

http://unixwiz.net/techtips/sql-injection.html

http://php.vrana.cz/obrana-proti-sql-injection.php

http://security-portal.cz/clanky/sql-injection

http://phpfashion.com/escapovani-definitivni-prirucka

http://php.vrana.cz/cross-site-scripting.php

http://php.vrana.cz/prihlasovani-uzivatelu.php

http://php.vrana.cz/ukladani-hesel.php

http://www.phpguru.cz/rubriky/bezpecnost

PS: a najmä! Nepoužívať primitívne heslá, ktoré uhádne aj cvičená opica

WebScript

Ja take nepouzivam, mozes skusit moj web (nechcem robit reklamu) web.webscript.biz a prihlásiť sa do administrácie, meno je WebScript a heslo je ine ako som tam pouzil, bolo to povodne iba verzia pre skusanie. Alebo moj ucet tu na fore, je tam mam tiez ine heslo.
Ďakujem za dokumentáciu, zase sa niečo nové naučím.
Skúsim niečo porobiť potom ak niečo sa mi podarí tak napíšem.
Ďakujem

WebScript

Chcel by som sa vás opýtať že či by niekdo mi nepridal do skriptu funkciu že keď niekdo trikrát zadá zlé heslo tak bude musieť zadať captchu, alebo sa nebude môcť prihlásiť.
Tu je ten skript:

Kód:

<?php
$heslo = "nepoviem"; 

session_start();
$pass = htmlspecialchars($_POST['heslo'], ENT_QUOTES);
       
if (($pass == $heslo) or ($_SESSION['authuser'] == 1)) {

   $_SESSION['authuser'] = 1;
   }else {
      echo "<p>Nemáte oprávnění k prohlížení této stránky</p>\n";
      exit();
      
      }
set_time_limit(15);
?>

Ďakujem

pilná lama glama

Citácia:

<?php
$heslo = "nepoviem";
session_start();
if(!isset($_SESSION['authpokus']))$_SESSION['authpokus]=1;
$pass = htmlspecialchars($_POST['heslo'], ENT_QUOTES);

if (($pass == $heslo) or ($_SESSION['authuser'] ==1)) {

$_SESSION['authuser'] = 1;
}elseif($_SESSION['authpokus]>3;) {
echo "<p>Nemáoprávnění k prohlížení této stránkyte </p>\n";
exit();
}else{
$_SESSION['authpokus]++;
echo "<p>Nemáte oprávnění k prohlížení této stránky</p>\n";

}
set_time_limit(15);
?>

Hacknutie prihlásenia na webe

Hacknutie prihlásenia na webe

Podobné témy

phpbb forum, zeby hacknutie?

Doba prihlásenia

pozadovanie prihlasenia

[VYRIESENE] dĺžka prihlásenia

farba ramu prihlasenia

PHP kontrola prihlasenia

Firefox - nepamata si prihlasenia

Zablokovanie prihlasenia sa pouzivatela

Výpis časov prihlásenia užívateľov

RDP bez prihlasenia uzivatelskym kontom

Spôsob prihlasenia do windowsu xp

Windows 7 - Zlyhanie inicializácie procesu prihlásenia

pomoc s ponukou prihlasenia do siete

Dve google prihlásenia v jednom prehliadači

Rátanie času v profile užívateľa - prihlasenia

Windows 10 zrušenie automatického prihlásenia do konta