Autor | Zpráva | ||
---|---|---|---|
Ondra Sojka Profil |
Dobrý den,
někdo se přihlásil za mne (můj nick: hoschi) na mém webu, žádný podezřelý účet (ani ten h○schi (viz obrázek)) není registrován. Přidával komentáře pod mým jménem (ale jako autor komentáře je uveden hoschi). Obrázek je screen z phpmyadmina, z logu. to h○schi muselo být Session-user... V další tabulce je další stopa, opět obdobné. Podělte se o své zkušenosti s tímto znakem... |
||
Lkopo Profil * |
#2 · Zasláno: 21. 1. 2014, 17:47:27
CSRF, XSS napríklad. Záleží ako, lebo vôbec ani nechápem Vaše tvrdenie. Vravíte, že sa niekto prihlásil za účet hoschi, teda Váš účet a potom píšete, že pridával komentáre pod vašim menom (teda zrejme hoschi), ale ako autor je uvedený hoschi. Hmm? Zrejme si nechránite sessions a nepoužívate tokeny na overenie si používateľa daného formulára.
|
||
Ondra Sojka Profil |
#3 · Zasláno: 21. 1. 2014, 19:02:30
Tokeny nepoužívám. Csrf je možné, chodím často na konkurenční web, který je potencionálním útočníkem, tudíž není problém mi škodlivý kód podstrčit.
Ovšem co ten neznámý znak? |
||
Bubák Profil |
#4 · Zasláno: 21. 1. 2014, 21:14:19
Ondra Sojka:
„Ovšem co ten neznámý znak?“ To je znak, jako každá jiný, v některých fontech je písmenu o podobnější. Kdybych já chtěl použít stejně vypadající písmeno, zvolil bych о (to je o z azbuky), ale ne každý se učil rusky. |
||
Časová prodleva: 10 let
|
0