| Autor | Zpráva | ||
|---|---|---|---|
| perwin Profil |
#1 · Zasláno: 5. 2. 2011, 23:06:06
Ahoj,
mám takový problém: Někdo se mi nedávno přihlásil na stránky, i když jeho heslo a nick použitý při přihlášení vůbec neexistuje v databázi, kde se nicky ověřují s existujícími nicky a hesly účtů. Přihlášení probíhá tak, že dotyčný zadá nick a heslo do formulářových polí, a data z nich se v jiném PHP souboru ověřují (heslo se pomocí md5 nejdříve zahashuje) s vypsanými nicky a zahashovanými hesly (WHERE heslo='$heslo' AND nick='$nick'). Pokud se data rovnají, pro uživatele se vyrobí $_SESSION s prihlasen = true, a další session s informacemi o přihlášeném uživateli. Pokud se data nerovnají, dotyčného to přesměruje zpět na přihlašovací stránku s chybovou hláškou. Ale teď by mě zajímalo, jak to ten dotyčný, kterému se povedlo nepovoleně přihlásit, dokázal obejít... Prosím poraďte, jak se tomu ubránit. Děkuji |
||
| Alphard Profil |
#2 · Zasláno: 5. 2. 2011, 23:09:09
|
||
| perwin Profil |
#3 · Zasláno: 5. 2. 2011, 23:17:07 · Upravil/a: perwin
Alphard:
Ne, tak se nejmenoval. Mám totiž vyrobenou tabulku pro nepovedené přístupy, kam se ukládá zadané heslo a nick + IP adresa. Podobně jako by měl nick pes, heslo slon a IP adresu 1.2.3.4 (nebudu dávat přesné údaje, stejně by ničemu nepomohli). Tak jak se tam dostal? Děkuji |
||
| Alphard Profil |
#4 · Zasláno: 5. 2. 2011, 23:33:36
perwin:
Tipl jsem nejjednodušší útok. Když jsem neuhádl, těžko radit bez konkrétního kódu. Nicméně rada o escapování platí. Když zadáte stejné jméno a heslo, podaří se vám útok opakovat? Nejlepší bude dát sem ten kód. |
||
| perwin Profil |
#5 · Zasláno: 5. 2. 2011, 23:47:02
Alphard:
Kód na přihlašování? |
||
| Alphard Profil |
#6 · Zasláno: 5. 2. 2011, 23:57:15
Ano. Předpokládám, že s ním je problém. Nebo je jiná možnost, jak se k vám mohl útočník nabourat?
|
||
|
Časová prodleva: 13 let
|
|||
0