login  Naam:   Wachtwoord: 
Registreer je!
 Forum

hack mijn site | Pagina 2

62 antwoorden

Gesponsorde links
Offline Gerard - 07/12/2006 16:57 (laatste wijziging 07/12/2006 16:59)
Avatar van Gerard Ouwe rakker
Citaat:
Niet akkoord.
Als mensen hun paswoord vergeten zijn, stuur ik ze liever hun paswoord terug op. In plaats van dan terug een tijdelijk lelijk gegereneerd gedoe aan te maken. Niet bepaald gebruiksvriendelijk.


Het gaat hier dan ook niet om gebruiksvriendelijkheid. Het gaat hier om veiligheid. Dit is gewoon geen goede manier van doen.

ps. Het eerste wat ik altijd doe als ik registreer op een website is gelijk 'lost password' doen. Als ik dan merk dat ik mijn eigen password terug krijg plaats ik een onzin wachtwoord erop en doe ik vrijwel nooit meer iets op zo'n site. Een beheerder die zo omgaat met wachtwoorden, is mij te onvoorzichtig.
Offline Rik - 07/12/2006 16:59
Avatar van Rik Gouden medailleGouden medaille

Crew algemeen
Leger > Spionagecentrum:
Citaat:
Warning: main(./spies.php) [function.main]: failed to open stream: No such file or directory in /home/xzero/domains/xgeneral.com/public_html/detail.php on line 25

Warning: main() [function.include]: Failed opening './spies.php' for inclusion (include_path='.:/usr/local/lib/php') in /home/xzero/domains/xgeneral.com/public_html/detail.php on line 25
Offline pj_muller00 - 07/12/2006 17:03 (laatste wijziging 07/12/2006 17:04)
Avatar van pj_muller00 PHP interesse Maar dan kan je het niet terug brengen. Dat vind ik het stomste aan die hash dingen.

EDIT : Ja, kweet ook niet hoe het komt, gewoon vergeten te uploaden ... zal het vanavond doen 
dit probleem stelt zich bij alle legergebouwen
Offline Ibrahim - 07/12/2006 17:07
Avatar van Ibrahim PHP expert jongen, dan maak je een nieuw wachtwoord. En de leden verzinnen dan weer een nieuwe wachtwoord die ze dan deze keer beter kunnen onthouden...
Offline GTW - 07/12/2006 17:08
Avatar van GTW Gouden medaille

PHP gevorderde
als je dan toch passwod recovery wilt doen, dan kun je een tijdelijk wachtoord in je db zetten en dat doormailen. dan kunnen ze het zonodig veranderen.
Offline Rik - 07/12/2006 17:09
Avatar van Rik Gouden medailleGouden medaille

Crew algemeen
Je kunt toch ook coderen met een key? Dan moet de hacker eerst nog die key weten voordat hij wachtwoorden kan decoderen.

Dan kun je ze gecodeerd opslaan in een database, maar toch weer decoderen. Of is dat ook niet veilig?
Offline Gerard - 07/12/2006 17:11 (laatste wijziging 07/12/2006 17:15)
Avatar van Gerard Ouwe rakker Je kan de procedure zelfs beter aanpakken.

Als een lid op lost password drukt maak je even een tijdelijke hash aan die 24 uur geldig is. Deze zet je in een aparte tabel.

Daarna stuur je deze hash mee in het mailtje naar de gebruiker. Met deze hash kan hij dan op een bepaalde pagina het wachtwoord updaten.

Het grote voordeel van dit systeem is dat als iemand kwaad wil doen (door constant lost password te doen voor andere hun account) jij niet direct een nieuw wachtwoord zend maar alleen een linkje om het te veranderen wanneer hij dat wil. Omdat de hash maar 24 uur geldig is raakt die tabel ook niet overvol en kan je die dus met een cron-job ofzo elke 24 uur leeg gooien (where nu - timestamp = meer dan een dag).

Je kan eventueel zelfs dan de ips erbij loggen van de mensen die het request aanmaken (in dezelfde tabel dus als de hash, soort van requestpass tabel) en op die manier intruders eruit vissen. Misschien zelfs de leden de mogelijkheid geven om dat ip-adres te blokken om password requests te maken voor hun account.

Je kan het zo gek maken als je zelf wilt, maar zorg er wel voor dat het veilig is.

Citaat:
Je kunt toch ook coderen met een key? Dan moet de hacker eerst nog die key weten voordat hij wachtwoorden kan decoderen.

Dan kun je ze gecodeerd opslaan in een database, maar toch weer decoderen. Of is dat ook niet veilig?

Dat is wat hij nu al doet, alleen vind ik gewoon dat je wachtwoorden moet hashen omdat die info niet terug geconvert hoeft te worden. Je hebt dat wachtwoord niet meer nodig en het is dus een security risk.

Als alleen je database compromised is dan maakt het inderdaad niet uit als je werkt met encryptie. Maar als ook je files compromised zijn (waar dus ook je key in staat) dan is je security dus gewoon nihil en liggen al die passes op straat.
Offline Rik - 07/12/2006 17:16 (laatste wijziging 07/12/2006 17:17)
Avatar van Rik Gouden medailleGouden medaille

Crew algemeen
Dat klinkt wel heel veilig!  

Als je een ip wilt loggen / bannen / oid is het handig om er eerst een gethostbyname() over te halen. Want de host blijft hetzelfde, dus dan kunnen mensen met een dynamisch ip niet onder jouw beveiliging uitkomen.

Edit:
Ja daar zat ik ook net aan te denken. Want je moet je key waarmee je versleuteld wel ergens kwijt in je script, en als een hacker je script kan zien is het voor hem maar een stapje meer werk om te decoderen.
Offline pj_muller00 - 07/12/2006 17:16 (laatste wijziging 07/12/2006 17:17)
Avatar van pj_muller00 PHP interesse encrypten met een paswoord is toch veilig.
Het gaat hier ook niet om bankrekening nummers enz hé ...

Daar gaan die mannen die zo ver voor gaan om hunne pc 2 maand te laten draaien om de sleutel te vinden ...

Afin swat.
Kunnen jullie nog wat testen ?  
Offline Gerard - 07/12/2006 17:17
Avatar van Gerard Ouwe rakker Wil er wel even bij opmerken dat sommige providers werken met een host die gelijk is aan het ip adres. Je krijgt dan bijvoorbeeld bij een ip van 127.0.0.1 een host zoals 1-0-0-127.user.provider.nl

Dan is die beveiliging dus ook weer van geen nut. Maar ik vind het een prima opmerking!
Offline pj_muller00 - 07/12/2006 17:40
Avatar van pj_muller00 PHP interesse md5 is trouwens te populair vind ik ...
Er zijn mensen die methodes hebben ontwikkeld (bv. rainbow tables) waardoor je het 'snel' kan vinden.

Als ik me niet vergis moet md5 gebrute forced worden hé ...
Offline timo - 07/12/2006 17:55
Avatar van timo PHP ver gevorderde ik heb programma dat kan korte md5 en sha1 en nog veel meer hashes brute force kraken..
Offline Gerard - 07/12/2006 17:57
Avatar van Gerard Ouwe rakker Wat ik altijd doe is een combinatie van md5 en sha1 aan elkaar plakken en dat weer een keer door sha1 halen. Op die manier representeert die string weer een 72tekens lange string. Geen rainbow table die tot 72 tekens gaat. Die moet dan namelijk TB's groot zijn. Daar heeft iemand niet zomaar toegang tot.
Offline Voldemort - 07/12/2006 18:08
Avatar van Voldemort PHP ver gevorderde @Proximus, zo dan

  1. sha1(md5(sha1($wachtwoord)));


?

Als je zo nog md5 en sha1 errond blijft zetten, is het dan ook langer? Of blijft dat constant?
Offline pj_muller00 - 07/12/2006 18:18 (laatste wijziging 07/12/2006 18:18)
Avatar van pj_muller00 PHP interesse constant

[EDIT] Maar is dit moeilijker om te hacken ?
Offline Ibrahim - 07/12/2006 18:19
Avatar van Ibrahim PHP expert
  1. $newpass = md5($password).sha1($password);
  2. $newpass = sha1($newpass);
  3.  
  4. bedoelt ie denk ik
Offline pj_muller00 - 07/12/2006 18:22
Avatar van pj_muller00 PHP interesse uiteindelijk heb je dan toch 72 char.
Maar is zoiets moeilijker om te hacken ?  
Offline Gerard - 07/12/2006 18:24
Avatar van Gerard Ouwe rakker Als je werkt met een rainbow table wel. Maar je hebt natuurlijk altijd nog de kans op een colission, maar dat is iets waar je niets aan kan doen.
Offline Grayen - 07/12/2006 18:34 (laatste wijziging 07/12/2006 18:34)
Avatar van Grayen PHP ver gevorderde bedoelt hij niet eerder:

  1. $newpass = sha1($password);
  2. $newpass = md5($newpass).sha1($newpass);


want sha1 maakt hoe lang de string of hoe kort hij ook is er altijd 40 tekens van 
Offline Den_Tomme - 07/12/2006 19:16
Avatar van Den_Tomme PHP interesse Hashen is een must. Ik verwacht ook van sites dat geen enkele admin mijn wachtwoord op eender welke manier kan bekijken. Als je de encryptie key hebt is dat namelijk geen probleem. Een hash is moeilijk te hacken denk ik hoor  
Offline marten - 07/12/2006 21:46
Avatar van marten Beheerder mmm uploaden van een avatar (dat een .lnk bestand is) vraagt wel erg veel laadtijd van je site 
Offline Ibrahim - 08/12/2006 07:46
Avatar van Ibrahim PHP expert ik ben geregistreerd, activeer mijn account, kom op een pagina met "klik hier om in te loggen" <<== die link werkt dus niet!
Offline pj_muller00 - 08/12/2006 09:29
Avatar van pj_muller00 PHP interesse probleem van de leger dingen zijn opgelost.
En kheb de link verwijderd.
Men kan nu enkel inloggen via de header.

Vroeger was er ook een aparte pagina ...

Pj  
Offline foe - 08/12/2006 15:37 (laatste wijziging 08/12/2006 15:40)
Avatar van foe HTML interesse Ik heb je site gescand met acunetix web vulnerability scanner

Hier zijn de resultaten

http://users.telenet.be/foe/report.html

Je server-status staat trouwens open.

http://xgeneral.com/server-status
ik denk niet dat dat de bedoeling is
Offline timo - 08/12/2006 17:15
Avatar van timo PHP ver gevorderde lol wist niet eens dat dat bestond, staat hier op sima ook open^^
Offline Dark_Paul - 08/12/2006 17:27
Avatar van Dark_Paul PHP ver gevorderde Ik wist 't ook niet, en volgens mij staat ie bij iedere hosting gewoon open.
Op de hosting van onze band kan je dat ook gewoon opvragen.
De vraag is, of ze iets met de info eruit kunnen. Anders zouden betaalde hosters die info wel afschermen lijkt me..
Offline pj_muller00 - 08/12/2006 18:56
Avatar van pj_muller00 PHP interesse
1. Hoe sluit ik die poort ?
2. kan je hem ook niet eens testen als je ingelogd bent ?
Dan gaat het een pak interesanter worden.

Alvast bedankt,
Pj  
Offline timo - 08/12/2006 19:48
Avatar van timo PHP ver gevorderde is geen poort, is een standaard map van Apache die blijkbaar uit moet staan..
Offline pj_muller00 - 08/12/2006 20:00
Avatar van pj_muller00 PHP interesse hoe doe je dat ?
Offline Diewy - 08/12/2006 20:10
Avatar van Diewy PHP interesse http://httpd.ap...tatus.html  
Gesponsorde links
Dit onderwerp is gesloten.
Actieve forumberichten
© 2002-2024 Sitemasters.be - Regels - Laadtijd: 0.216s