Крем (26.02.2011/16:22)нет.
уф... а старый пароль мы сможем украсть или нет? запутался.
вероятность взлома акков внешними скриптами?
844
Максим
26 фев 2011 г., 19:23
В стельку трезвый
так тогда заколдованный круг? и облом хакеру?
Xargs
26 фев 2011 г., 19:29
Крем (26.02.2011/16:26)ну если у тебя стоит какой-нибудь модуль для управления MySql тогда результат может быть плачевным
так тогда заколдованный круг? и облом хакеру?
Xargs (26.02.2011/16:29)не. случайно не поставил
ну если у тебя стоит какой-нибудь модуль для управления MySql тогда результат может быть плачевным
.gif)
Dionis
26 фев 2011 г., 19:49
Ацкий мегавзлом своими руками
Проведём небольшой эксперимент на локальной машине.
Для начала создадим скрипт с таким содержанием
Теперь идём на форум, пишем сообщение типа
Далее открываем файл php.ini (у меня он в C:\DENWER\usr\local\php5, у вас может в другом месте). Ищем строку "session.use_cookies = 1", меняем "1" на "0", сохраняем и перезапускаем апач (денвер). Опять идём на форум, находим своё сообщение и переходим по ссылке. Если всё сделали правильно, то должны увидеть что-то типа
Теперь немного занудства.
В двиге в core.php есть строка "@ ini_set('session.use_trans_sid', '1');", которая выставляет настройки так, что если у юзера отключены куки или директива session.use_cookies = 0 (как мы сделали в примере), то php автоматически дописывает идентефикатор сессии ко всем относительным ссылкам (то есть таким как /forum, /chat; к ссылкам типа http://sait.ru/bla.php ничего не дописывает). По-моему, правильнее было бы вместо этой директивы, включать именно session.use_cookies.
Когда это работает.
Если ваш хостер еблан если вы пользуетесь услугами неквалифицированного хостера, который выключает директиву session.use_cookies. Если вы сами еблан её отключили по каким-либо причинам. Если у юзера отключены куки. Конкретно для johncms последний случий не так страшен, так как с отключеными куками вы просто не сможете авторизоваться на сайте (смотреть 96-98 строчки файла login.php). Но ведь никто не запретит сайтостроителю переписать авторизацию, так чтобы и без кук юзер заходил на сайт.
...и к чему приводит.
Приведёт это к тому что злоумышленик, узнав идентефикатор сессии, может зайти на сайт под учёткой юзера (главное, чтобы сессия была ещё жива). На джоне, не зная старый пароль, новый не поставить, соответсвенно украсть учётку таким способом не получится. Но напакастить всё же можно.
Проведём небольшой эксперимент на локальной машине.
Для начала создадим скрипт с таким содержанием
echo $_SERVER['HTTP_REFERER'];Теперь идём на форум, пишем сообщение типа
Купить монет (ссылка на ранее созданый нами скрипт)
Далее открываем файл php.ini (у меня он в C:\DENWER\usr\local\php5, у вас может в другом месте). Ищем строку "session.use_cookies = 1", меняем "1" на "0", сохраняем и перезапускаем апач (денвер). Опять идём на форум, находим своё сообщение и переходим по ссылке. Если всё сделали правильно, то должны увидеть что-то типа
http://sait/forum/index.php?id ... 36eb3
Теперь немного занудства.
В двиге в core.php есть строка "@ ini_set('session.use_trans_sid', '1');", которая выставляет настройки так, что если у юзера отключены куки или директива session.use_cookies = 0 (как мы сделали в примере), то php автоматически дописывает идентефикатор сессии ко всем относительным ссылкам (то есть таким как /forum, /chat; к ссылкам типа http://sait.ru/bla.php ничего не дописывает). По-моему, правильнее было бы вместо этой директивы, включать именно session.use_cookies.
Когда это работает.
Если ваш хостер еблан если вы пользуетесь услугами неквалифицированного хостера, который выключает директиву session.use_cookies. Если вы сами еблан её отключили по каким-либо причинам. Если у юзера отключены куки. Конкретно для johncms последний случий не так страшен, так как с отключеными куками вы просто не сможете авторизоваться на сайте (смотреть 96-98 строчки файла login.php). Но ведь никто не запретит сайтостроителю переписать авторизацию, так чтобы и без кук юзер заходил на сайт.
...и к чему приводит.
Приведёт это к тому что злоумышленик, узнав идентефикатор сессии, может зайти на сайт под учёткой юзера (главное, чтобы сессия была ещё жива). На джоне, не зная старый пароль, новый не поставить, соответсвенно украсть учётку таким способом не получится. Но напакастить всё же можно.
olgreh
26 фев 2011 г., 19:58
Dionis, Вот немногие веб движки мне этим и нравятся что вся личная инфа хранится в кукисах браузера, а не на сайте или сервере и перехват сессий вообще невозможен за неимением таковых.
Dionis
26 фев 2011 г., 20:13
olgreh (26.02.2011/16:58)О_о а капчи в таких движках нет что ли?
Dionis, Вот немногие веб движки мне этим и нравятся что вся личная инфа хранится в кукисах браузера, а не на сайте или сервере и перехват сессий вообще невозможен за неимением таковых.
olgreh
26 фев 2011 г., 20:16
Dionis, конечно нет, всё просто.
Dionis
26 фев 2011 г., 20:21
olgreh, Кинь в личку ссылки на такие движки. *алчно улыбаюсь, устанавливая спам-бота* ))
вот что и хотел услышать
Всего: 48
© 2024, JohnCMS