beveiliging van deze site

Overzicht Reageren

Sponsored by: Vacatures door Monsterboard

Mike de Klerk

Mike de Klerk

11/12/2005 17:01:00
Quote Anchor link
Hallo amin of moderator of andere bevoegdheden,

Ik heb wat bugs gevonden in je site. Aangezien de bugs niet erg irritant zijn indien deze gebruikt worden meld ik deze hier niet direct in die forum. Wil je weten wat deze bugs zijn? laat het me ff weten..

Devoney
 
PHP hulp

PHP hulp

26/12/2024 14:40:18
 
Eris -

Eris -

11/12/2005 17:04:00
Quote Anchor link
Vertel ze hier maar. Die zijn toch al bekend.
 
Erik Rijk

Erik Rijk

11/12/2005 17:06:00
Quote Anchor link
wat dacht je van html invoeren in input veldjes...
heb ik al eens een topic over gemaakt maar niemand die er ook maar iets mee doet.
 
Mike de Klerk

Mike de Klerk

11/12/2005 17:12:00
Quote Anchor link
ok wat jij wilt. Je kunt berichten naar jezelf sturen. Je kunt bezoekers van deze pagina direct doorsturen naar andere sites. Je kunt ingelogd zijn zonder sessie dmvm van de cookies te manipuleren. Je kan daarmee je level veranderen in wat je maar wilt. zo kun je berichten editen en deleten en users bannen. Maar je kunt dan niet uitloggen omdat je volgens het systeem toch niet helemaal bent ingelogd. Het wachtwoord staat d.m.v. een md5 hash in je cookie. ALs ik het cookie steel en de md5 hash terug brute force of opzoek in een md5hash database op internet heb ik een user account gestolen. Niet echt zoals het hoort dacht ik zo....

Dat is inclusief jouw cookie en dan zou ik als admin ingelogd kunnen worden. Ik kan het uitvoeren als ik wil. Maar dat ga ik niet want ik heb er niks aan om deze site te hacken. Genoeg andere sites te exploiteren ;)

Was dit al bekend? Doe er dan wat aan voordat iemand anders er wel gebruik van maakt...
Gewijzigd op 11/12/2005 17:14:00 door Mike de Klerk
 

11/12/2005 17:14:00
Quote Anchor link
weet iemand een scriptje (html) aar mee je een pagina van je site met een wachtwoord kan beveiligen??? een niet al te moeilijke AUB!!

Wil je aub het antwoord mailen????
Heel erg thanxxx alvast ;)
 
Mike de Klerk

Mike de Klerk

11/12/2005 17:21:00
Quote Anchor link
beveiligen met html heeft geen zin. De eerste de beste noob kijkt in de source is voorbij de beveiliging.
 
Erik Rijk

Erik Rijk

11/12/2005 17:21:00
Quote Anchor link
dat kan niet met alleen html
 
Mike de Klerk

Mike de Klerk

11/12/2005 17:24:00
Quote Anchor link
je hebt daarvoor een server side language nodig. Dat betekent dat de de source op de server blijft en wordt geparsed. de output gaat naar jou browser als html. met javascript kun je beveiligen. Alleen is deze client sided. De client (bezoeker) kan dus in de source kijken van je beveiliging.
 
Mitch X

Mitch X

11/12/2005 17:25:00
Quote Anchor link
Quote:
Je kan daarmee je level veranderen in wat je maar wilt. zo kun je berichten editen en deleten en users bannen. Maar je kunt dan niet uitloggen omdat je volgens het systeem toch niet helemaal bent ingelogd.

Je level staat in de DB, en Bas checkt het daarmee.
Dus dat feest gaat niet op.
 
Arjan Kapteijn

Arjan Kapteijn

11/12/2005 17:25:00
Quote Anchor link
Wel grappig, iets wat je niet verwacht van een site als phphulp, waar je er vanuit gaan dat de makers zelf de expert zijn ;). Achja, shit happens. Zelf de beste programmeurs maken fouten of zien wel eens dingen over het hoofd.

Ik ben in ieder geval blij dat er mensen zijn die er geen misbruik van maken, maar het gewoon netjes melden. Ik kan de problemen zelf helaas niet oplossen maar ik hoop wel dat er in de toekomst wat mee gedaan word :).
 

11/12/2005 17:25:00
Quote Anchor link
Anls ze hier nou een betere post parser zouden gebruiken, zou dit probleem ook opgelost zijn ook.
 
Mike de Klerk

Mike de Klerk

11/12/2005 17:27:00
Quote Anchor link
wie is hier wel verantwoordelijk voor dan? Of wie kan dit wel veranderen?
 
Erik Rijk

Erik Rijk

11/12/2005 17:28:00
Quote Anchor link
Bas Kreleger
 
Mike de Klerk

Mike de Klerk

11/12/2005 17:28:00
Quote Anchor link
Mitch:
Quote:
Je kan daarmee je level veranderen in wat je maar wilt. zo kun je berichten editen en deleten en users bannen. Maar je kunt dan niet uitloggen omdat je volgens het systeem toch niet helemaal bent ingelogd.

Je level staat in de DB, en Bas checkt het daarmee.
Dus dat feest gaat niet op.

en toch is het slordig dat opeens als die links van edit, ban en delete verschijnen terwijl je volgens het systeem niet bent ingelogd. Maar je gebruikers naam staat wel links boven in. Ingelogd als: <gebruikersnaam>
 
Mike de Klerk

Mike de Klerk

11/12/2005 17:32:00
Quote Anchor link
Arjan:
Wel grappig, iets wat je niet verwacht van een site als phphulp, waar je er vanuit gaan dat de makers zelf de expert zijn ;). Achja, shit happens. Zelf de beste programmeurs maken fouten of zien wel eens dingen over het hoofd.

Ik ben in ieder geval blij dat er mensen zijn die er geen misbruik van maken, maar het gewoon netjes melden. Ik kan de problemen zelf helaas niet oplossen maar ik hoop wel dat er in de toekomst wat mee gedaan word :).


In het begin is het leuk. "WOW je hebt de admin van site huppeldepup gehacked!' Op een gegeven moment is het saai en geen uitdaging meer. Je ontwikkeld een basic routine om een site te exploiteren en vele sites zijn voor die basic routine al gevoelig. Zodra er ongecodeerde credit cards nummers, databases van webshops, gevoelige informatie endergelijke toegankelijk voor je zijn... Dan is het nog wel interessant ;)
 
Arjan Kapteijn

Arjan Kapteijn

11/12/2005 17:37:00
Quote Anchor link
Opzich vind ik het wel interessant, ik heb wat beveiligingen guides liggen en ga tijdens het programmeren wel zoveel mogelijk proberen zo veilig om te gaan met alle user input. Maar sommige dingen zoals het bruteforce van een md5 hash gaat mij net te ver :P.
 
Mitch X

Mitch X

11/12/2005 17:51:00
Quote Anchor link
Ach, Bas doet weinig met al die meldingen.
Ik heb laatst een grote exploit toegepast en een blik koekjes gepakt.
Exploit werkt nog steeds :+
 
Mike de Klerk

Mike de Klerk

11/12/2005 17:53:00
Quote Anchor link
Arjan:
Opzich vind ik het wel interessant, ik heb wat beveiligingen guides liggen en ga tijdens het programmeren wel zoveel mogelijk proberen zo veilig om te gaan met alle user input. Maar sommige dingen zoals het bruteforce van een md5 hash gaat mij net te ver :P.


Ik heb een programma geschreven voor het brute forcen van md5 hashes met waarde van a-z0-9 . Deze bruteforcer is bijlange na niet perfect maarhet principe is er. aangezien het toetsenbord 26 letters en 10 cijfers heeft zijn dat 36 mogelijkheden per plaats. Indien er hoofdlettergevoeligheid bij komt kijken is dat (26 x2)+10=62 mogelijkheden per locatie. dat houdt dus in dat als een wachtwoord 8 tekens lang is en wilt de md5 has hiervan brute forcen dat hij 62^8 (ook wel 62x62x62x62x62x62x62x62) mogelijkheden (ongeveer) moet afgaan wilt hij de juiste combinatie tegen komen. Het brute forcen van 5 tekens lang gaat nog wel. Maar daarboven wordt het gekke werk!
 



Overzicht Reageren

 
 

Om de gebruiksvriendelijkheid van onze website en diensten te optimaliseren maken wij gebruik van cookies. Deze cookies gebruiken wij voor functionaliteiten, analytische gegevens en marketing doeleinden. U vindt meer informatie in onze privacy statement.