Scripts - Tutorials - Forum - Downloads - Showcase - Contact

Artikels

VPN vergelijken

Algemeen

Beginpagina

FAQ

Grafische worm (243)

Links

Nieuwsartikels

Nieuwsarchief

Boeken programmeren

Overzicht

Samenwerken

Webhosting

Zoek op Sitemasters

Leden

Registreren

Ledenlijst

Ons team

Links

webhostingtop10.be

Sociale media

Follow @sitemasters

Sitemasters

Adverteren op Sitemasters?

Contacteer ons

RSS

Link naar ons

Donaties

Poll

Je moet ingelogd zijn om te stemmen.

Statistieken

Linkpartners

Forum

Categorieën > Overige

hack mijn site | Pagina 2

62 antwoorden

Gesponsorde links

Gerard - 07/12/2006 16:57 (laatste wijziging 07/12/2006 16:59)
Ouwe rakker		Citaat: Niet akkoord. Als mensen hun paswoord vergeten zijn, stuur ik ze liever hun paswoord terug op. In plaats van dan terug een tijdelijk lelijk gegereneerd gedoe aan te maken. Niet bepaald gebruiksvriendelijk. Het gaat hier dan ook niet om gebruiksvriendelijkheid. Het gaat hier om veiligheid. Dit is gewoon geen goede manier van doen. ps. Het eerste wat ik altijd doe als ik registreer op een website is gelijk 'lost password' doen. Als ik dan merk dat ik mijn eigen password terug krijg plaats ik een onzin wachtwoord erop en doe ik vrijwel nooit meer iets op zo'n site. Een beheerder die zo omgaat met wachtwoorden, is mij te onvoorzichtig.

Rik - 07/12/2006 16:59
Crew algemeen		Leger > Spionagecentrum: Citaat: Warning: main(./spies.php) [function.main]: failed to open stream: No such file or directory in /home/xzero/domains/xgeneral.com/public_html/detail.php on line 25 Warning: main() [function.include]: Failed opening './spies.php' for inclusion (include_path='.:/usr/local/lib/php') in /home/xzero/domains/xgeneral.com/public_html/detail.php on line 25

pj_muller00 - 07/12/2006 17:03 (laatste wijziging 07/12/2006 17:04)
PHP interesse		Maar dan kan je het niet terug brengen. Dat vind ik het stomste aan die hash dingen. EDIT : Ja, kweet ook niet hoe het komt, gewoon vergeten te uploaden ... zal het vanavond doen dit probleem stelt zich bij alle legergebouwen

Ibrahim - 07/12/2006 17:07
PHP expert		jongen, dan maak je een nieuw wachtwoord. En de leden verzinnen dan weer een nieuwe wachtwoord die ze dan deze keer beter kunnen onthouden...

GTW - 07/12/2006 17:08
PHP gevorderde		als je dan toch passwod recovery wilt doen, dan kun je een tijdelijk wachtoord in je db zetten en dat doormailen. dan kunnen ze het zonodig veranderen.

Rik - 07/12/2006 17:09
Crew algemeen		Je kunt toch ook coderen met een key? Dan moet de hacker eerst nog die key weten voordat hij wachtwoorden kan decoderen. Dan kun je ze gecodeerd opslaan in een database, maar toch weer decoderen. Of is dat ook niet veilig?

Gerard - 07/12/2006 17:11 (laatste wijziging 07/12/2006 17:15)
Ouwe rakker		Je kan de procedure zelfs beter aanpakken. Als een lid op lost password drukt maak je even een tijdelijke hash aan die 24 uur geldig is. Deze zet je in een aparte tabel. Daarna stuur je deze hash mee in het mailtje naar de gebruiker. Met deze hash kan hij dan op een bepaalde pagina het wachtwoord updaten. Het grote voordeel van dit systeem is dat als iemand kwaad wil doen (door constant lost password te doen voor andere hun account) jij niet direct een nieuw wachtwoord zend maar alleen een linkje om het te veranderen wanneer hij dat wil. Omdat de hash maar 24 uur geldig is raakt die tabel ook niet overvol en kan je die dus met een cron-job ofzo elke 24 uur leeg gooien (where nu - timestamp = meer dan een dag). Je kan eventueel zelfs dan de ips erbij loggen van de mensen die het request aanmaken (in dezelfde tabel dus als de hash, soort van requestpass tabel) en op die manier intruders eruit vissen. Misschien zelfs de leden de mogelijkheid geven om dat ip-adres te blokken om password requests te maken voor hun account. Je kan het zo gek maken als je zelf wilt, maar zorg er wel voor dat het veilig is. Citaat: Je kunt toch ook coderen met een key? Dan moet de hacker eerst nog die key weten voordat hij wachtwoorden kan decoderen. Dan kun je ze gecodeerd opslaan in een database, maar toch weer decoderen. Of is dat ook niet veilig? Dat is wat hij nu al doet, alleen vind ik gewoon dat je wachtwoorden moet hashen omdat die info niet terug geconvert hoeft te worden. Je hebt dat wachtwoord niet meer nodig en het is dus een security risk. Als alleen je database compromised is dan maakt het inderdaad niet uit als je werkt met encryptie. Maar als ook je files compromised zijn (waar dus ook je key in staat) dan is je security dus gewoon nihil en liggen al die passes op straat.

Rik - 07/12/2006 17:16 (laatste wijziging 07/12/2006 17:17)
Crew algemeen		Dat klinkt wel heel veilig! Als je een ip wilt loggen / bannen / oid is het handig om er eerst een gethostbyname() over te halen. Want de host blijft hetzelfde, dus dan kunnen mensen met een dynamisch ip niet onder jouw beveiliging uitkomen. Edit: Ja daar zat ik ook net aan te denken. Want je moet je key waarmee je versleuteld wel ergens kwijt in je script, en als een hacker je script kan zien is het voor hem maar een stapje meer werk om te decoderen.

pj_muller00 - 07/12/2006 17:16 (laatste wijziging 07/12/2006 17:17)
PHP interesse		encrypten met een paswoord is toch veilig. Het gaat hier ook niet om bankrekening nummers enz hé ... Daar gaan die mannen die zo ver voor gaan om hunne pc 2 maand te laten draaien om de sleutel te vinden ... Afin swat. Kunnen jullie nog wat testen ?

Gerard - 07/12/2006 17:17
Ouwe rakker		Wil er wel even bij opmerken dat sommige providers werken met een host die gelijk is aan het ip adres. Je krijgt dan bijvoorbeeld bij een ip van 127.0.0.1 een host zoals 1-0-0-127.user.provider.nl Dan is die beveiliging dus ook weer van geen nut. Maar ik vind het een prima opmerking!

pj_muller00 - 07/12/2006 17:40
PHP interesse		md5 is trouwens te populair vind ik ... Er zijn mensen die methodes hebben ontwikkeld (bv. rainbow tables) waardoor je het 'snel' kan vinden. Als ik me niet vergis moet md5 gebrute forced worden hé ...

timo - 07/12/2006 17:55
PHP ver gevorderde		ik heb programma dat kan korte md5 en sha1 en nog veel meer hashes brute force kraken..

Gerard - 07/12/2006 17:57
Ouwe rakker		Wat ik altijd doe is een combinatie van md5 en sha1 aan elkaar plakken en dat weer een keer door sha1 halen. Op die manier representeert die string weer een 72tekens lange string. Geen rainbow table die tot 72 tekens gaat. Die moet dan namelijk TB's groot zijn. Daar heeft iemand niet zomaar toegang tot.

Voldemort - 07/12/2006 18:08
PHP ver gevorderde		@Proximus, zo dan php code - Bekijk de code zonder highlighting - Klap code in sha1(md5(sha1($wachtwoord))); sha1(md5(sha1($wachtwoord))); ? Als je zo nog md5 en sha1 errond blijft zetten, is het dan ook langer? Of blijft dat constant?

pj_muller00 - 07/12/2006 18:18 (laatste wijziging 07/12/2006 18:18)
PHP interesse		constant [EDIT] Maar is dit moeilijker om te hacken ?

Ibrahim - 07/12/2006 18:19
PHP expert		php code - Bekijk de code zonder highlighting - Klap code in $newpass = md5($password).sha1($password); $newpass = sha1($newpass); bedoelt ie denk ik $newpass = md5($password).sha1($password); $newpass = sha1($newpass); bedoelt ie denk ik

pj_muller00 - 07/12/2006 18:22
PHP interesse		uiteindelijk heb je dan toch 72 char. Maar is zoiets moeilijker om te hacken ?

Gerard - 07/12/2006 18:24
Ouwe rakker		Als je werkt met een rainbow table wel. Maar je hebt natuurlijk altijd nog de kans op een colission, maar dat is iets waar je niets aan kan doen.

Grayen - 07/12/2006 18:34 (laatste wijziging 07/12/2006 18:34)
PHP ver gevorderde		bedoelt hij niet eerder: php code - Bekijk de code zonder highlighting - Klap code in $newpass = sha1($password); $newpass = md5($newpass).sha1($newpass); $newpass = sha1($password); $newpass = md5($newpass).sha1($newpass); want sha1 maakt hoe lang de string of hoe kort hij ook is er altijd 40 tekens van

Den_Tomme - 07/12/2006 19:16
PHP interesse		Hashen is een must. Ik verwacht ook van sites dat geen enkele admin mijn wachtwoord op eender welke manier kan bekijken. Als je de encryptie key hebt is dat namelijk geen probleem. Een hash is moeilijk te hacken denk ik hoor

marten - 07/12/2006 21:46
Beheerder		mmm uploaden van een avatar (dat een .lnk bestand is) vraagt wel erg veel laadtijd van je site

Ibrahim - 08/12/2006 07:46
PHP expert		ik ben geregistreerd, activeer mijn account, kom op een pagina met "klik hier om in te loggen" <<== die link werkt dus niet!

pj_muller00 - 08/12/2006 09:29
PHP interesse		probleem van de leger dingen zijn opgelost. En kheb de link verwijderd. Men kan nu enkel inloggen via de header. Vroeger was er ook een aparte pagina ... Pj

foe - 08/12/2006 15:37 (laatste wijziging 08/12/2006 15:40)
HTML interesse		Ik heb je site gescand met acunetix web vulnerability scanner Hier zijn de resultaten http://users.telenet.be/foe/report.html Je server-status staat trouwens open. http://xgeneral.com/server-status ik denk niet dat dat de bedoeling is

timo - 08/12/2006 17:15
PHP ver gevorderde		lol wist niet eens dat dat bestond, staat hier op sima ook open^^

Dark_Paul - 08/12/2006 17:27
PHP ver gevorderde		Ik wist 't ook niet, en volgens mij staat ie bij iedere hosting gewoon open. Op de hosting van onze band kan je dat ook gewoon opvragen. De vraag is, of ze iets met de info eruit kunnen. Anders zouden betaalde hosters die info wel afschermen lijkt me..

pj_muller00 - 08/12/2006 18:56
PHP interesse		1. Hoe sluit ik die poort ? 2. kan je hem ook niet eens testen als je ingelogd bent ? Dan gaat het een pak interesanter worden. Alvast bedankt, Pj

timo - 08/12/2006 19:48
PHP ver gevorderde		is geen poort, is een standaard map van Apache die blijkbaar uit moet staan..

pj_muller00 - 08/12/2006 20:00
PHP interesse		hoe doe je dat ?

Diewy - 08/12/2006 20:10
PHP interesse		http://httpd.ap...tatus.html

Gesponsorde links

Dit onderwerp is gesloten.

Actiefste leden van de maand

Actieve forumberichten