Compudoc, aub geen onzin uitkramen. Programma's die zoiets kunnen in 5 minuten moeten nog geteleporteerd worden van de toekomst... of we moeten nog x jaar wachten. Zoiets bestaat niet... aap!
er zijn wel programma's hoor als jij bijvoorbeeld een deel van het wachtwoord of gebr.naam weet maar die doen er denk ik toch wel wat langer over (ik weet dit wel 100% zeker want mijn broer heeft een keer gebruikt in opdracht van mij om op mijn site in te breken)
@compudoc: Threetimes zei trouwens dat het wachtwoord ook nog eens met sha1 gecodeerd is. Dus als je de md5 kan kraken moet je de sha1 nog kraken.
Zulke programma's gebruiken brute-force. Enkel een héél krachtige computer (1 die nog niet bestaat) zou zoiets in 5 minuten kunnen.
@Threetimes: Je zegt dat je script 2x gecrackt is. Als het 2x dezelfde crackers zijn, dan is het vermoedelijk met hetzelfde lek. Kijk dus of je overal je $_GET, $_POST en $_COOKIE variablen beveiligd. En als je dat doet, kijk dan of het wijzigen ervan ernstige veranderingen kan teweegbrengen.
Edit: In je dbconnect.php file staat reeds een wachtwoord, etc ingevuld. Als dat jouw wachtwoord voor je site is, dan kunnen de crackers je SQL van eender waar benaderen en alles weghalen.
met RainBow tables kan je sha1, md3 t/m 5 en veel meer nog kraken, maar als een wachtwoord dubbel gecodeerd is of gewoon heel lang is de kans heel klein / onmogelijk tot nu toe om dit te hacken:
bv.
abc hebben ze meteen
maar alledikkebiggenlageninhetweilandtescripten zullen ze niet krijgen..
IP for the win!
Je moet er altijd rekening mee houden dat er veiligheidslekken in je script kunnen zitten, en dat er dus bv. js kan uitgevoerd worden. Is dit zo dan kunnen er cookies gestolen worden. Als je het slim aanpakt dan kan de 'cookiedief' hier niets mee.
Cookies stelen heeft helemaal geen zin...
Er staat toch alleen maar een sessie-id in waar je niks mee kan.
Het gaat over een online demo waar iedereen op kan inloggen en met dat wachtwoord kan je geen site wissen!
als in de sessie (die op de server staat) staat dat je ingelogd bent (dat wordt weer met HET dubbel gecodeerde w8woord uit de DB gecontroleerd) ben je pas ingelogd maar het enige wat op de client (jij) staat is een cookie met het sessie-id (als cookies uit staan staan het sessie-id in de url), de rest staat op de server.
ik krijg toch een cookie met PHPSESSID, als ik die naar jou session id veranderd denkt de server (waarnaar ik de REQUEST HEADER: COOKIE PHPSESSID=xxxxxx stuur) dat ik jou ben..
zo zijn we dus op dit onderwerp gekomen, lees maar even de posts op de vorige pagina door, als ik een plaatje op die site neerzet met als source http://mijnsite.ex/hackimage.php en die genereert een normaal plaatje maar neemt ook leuk jou cookie mee, of ik geef die cookie via JS mee oid, en ik stuur je cookie naar mijn mail of log ze.. dan heb ik na paar x proberen van mensen die normaal bezochten jou er wel uit en dan log ik zo in op je, ook al ben je weer uitgelogd op de server..
de enige mensen die een afbeelding of script op de site kunnen zetten zijn de mensen die de site hebben en niet de bezoekers. aleen in de demo kan iedereen erbij en dat mag ook! lees eerst alles goed voor je iets post (sorry maar niemand blijkt te snappen dat het een demo van een CMS is)
ja maar als jij nog ingelogd was op de echte versie en toen de demo bekeek kon ie je oude SESSID toch zien! en als je nou nog dingen niet begrijpt formuleer het dan wat beter of vraag het ergens anders want we zijn hier aardig offtopic aant raken..
Bestand toevoegen, aanroepen en dan alle dirs doorgaan, als laatste de dir waar hij zelf in staat. Klaar.
Moet je dat maar niet in je demo zetten, btw, wees blij dat ik geen echte badguy ben die je DB gegevens ging jatten en later alsnog rare dingen ging posten. Dikke kans dat ik dan ook nog eens op je hoofdpagina had kunnen posten omdat daar dezelfde user/wachtwoord combinatie voor gebruikt werd.
timmie loots ik noem je bij deze een vieze smerige hufter. Je kan dit ook normaal tegen de persoon zeggen ipv alles te wissen. Wat ben je nou voor een webdesigner? Getverderrie wat een ziek persoon......
Echt hoor Marten, je kan nog zo zeuren, maar denk je dat ik me ook maar iets aantrek van iemand op een wmc?
Bovendien ben ik geen webdesigner, get your facts straight. En dit is verder natuurlijk een geval van eigen schuld, dikke bult. Als je zo dom bent mensen PHP files te laten uploaden naar je server, verdien je dit.
Besides, zoals ik al zei, wees blij dat ik het ben, die de files alleen verwijderd. Een ander had er bwvs spam mee kunnen versturen, is hij ook nog eens zuur omdat hij zijn hosting op zijn dak krijgt.
Uhm? Iemand een kankerpersoon noemen?
Ik heb de files verwijderd, maar heb geen rare berichten aangemaakt met kanker erin. Sterker nog, ik heb helemaal géén berichten aangemaakt.
Lijkt mij eerder het werk van een ander, en dat kunnen er veel zijn aangezien het een openbare demo was.
Mja, geen zin in. Maargoed, ik ga er van uit dat mijn punt nu duidelijk is.
Alsnog wat tips aan de ts:
* Laat mensen NOOIT bestanden uploaden naar je server
* User input moet je bij gebruik in een query altijd escapen(addslashes), regels 8, 9 en 10 in je index.php van pcms zijn gevaarlijk, je zorgt er daar expliciet voor dat slashes niet ge-escaped worden.
Lijkt me verstandig de discussie over wie-hier-de-dommerik-is-geweest te sluiten.
Threetimes heeft een enorme fout gemaakt en zal daar nu in de toekomst wel aan denken, timmie_loots is zo vriendelijk geweest hem daar op zijn manier op te wijzen.
Laat het een les zijn voor iedereen: wanneer je iets maakt met dergelijke functies, laat de boel dan eerst eens grondig testen door iemand die er ervaring mee heeft voordat je een publieke demo online zet. Niet iedereen is zo vriendelijk om het gewoon even te melden!
Wat mij betreft is het nutteloos hier nog verder op door te gaan ...
Wat is jouw favoriete javascript framework? (S: 18, R: 2)
Gesponsorde links
Actiefste leden van de maand
