вероятность взлома акков внешними скриптами?

Последняя активность
Файлы топика
842
.
Крем
26 фев 2011 г., 18:21
На неком сайте все внутренние ссылки построены на основе SID и выглядят примерно так ru/mysite/?sid=139978721&name=Gepard_SDZ

Я так понимаю, что SID это уникальный номер пользователя. Что типа номера кредитки. Но это не ID!

Администрация сама открыто заявляет, что если вы зайдете под своим ником и скопируйте ссыль через адресную строку браузера или через закладку, то вы откроете свой SID.
И через SID можно легко узнать пароль.

Слова администрации подтверждаются многочисленными взломами. например через специальный скрипт, маскирующийся под продажу монет:

Здравствеите вас
приветствует программа
spaces.x
Ваши функции
1) Купить-20монет
2)Забить-Бесплатно
3)Забыть-бесплатно
или продажа состоится
сегодня


Вопросы определены:
1. возможно ли на джоне использование подобных скриптов? то есть мы не вводим пароль а просто переходим по паленой ссылке и скрипт ловит пароль?

2. если такие скрипты есть или в теории их можно придумать, то как то их можно и блокировать? давайте подумаем как? юзверь все равно будет продолжать открывать паленые ссыли.
3. На джоне нет SID. Есть ли другие потенциально слабые места в коде, через которые скрипт возможно узнает пароль?
.
Крем
26 фев 2011 г., 18:21
кстати речь о 3.22
.
Крем
26 фев 2011 г., 18:23
если не трудно дайте ответ как бы я мог ответить своим юзерам. волнуются.
.
Xargs
26 фев 2011 г., 18:24
джон дырко, ты что не знал?
.
Крем
26 фев 2011 г., 18:25
Быдлокодер (26.02.2011/15:23)
да хоть где. в любом месте.
я могу) я ж админ
а если серьезно?
.
Крем
26 фев 2011 г., 18:32
Быдлокодер (26.02.2011/15:28)
если серьезно то вопросы глупые.
не переживай, тебя так не взломают)
А сессию можно перехватить и другими способами, раз уж на то пошло)
очень интересно. а как например? проведи краткий ликбез?
.
hooligan
26 фев 2011 г., 18:34
крем... Я понял про что ты...
На джонe этого нет... И взлома аккаунта соответственно не может быть...
Есть 100500 способов сделать это... Если есть цель то найдут способ...
.
Крем
26 фев 2011 г., 18:35
задам вопрос по другому. как обезопасить от перехвата сессии?
.
Максим
26 фев 2011 г., 18:35
В стельку трезвый
http://phpfaq.ru/sessions
.
Крем
26 фев 2011 г., 18:35
hooligan (26.02.2011/15:34)
крем... Я понял про что ты...
На джонe этого нет... И взлома аккаунта соответственно не может быть...
Есть 100500 способов сделать это... Если есть цель то найдут способ...
999 способ-подобрать пароль
Всего: 48
© 2024, JohnCMS