Just nu i M3-nätverket
Gå till innehåll
Makarena

osynlig funktion

Rekommendera Poster

 

hmm... jag skapade ett konto och lite sådant där.. Sedan kollade jag i min gästbok, och.. "tallade lite"... Nu går det otroligt slött på sprintern.com.. Jag tror/hoppas inte det var mitt fel?

 

Tillägg:

hmm.. verkar fungera bra nu. Bara jag som är en nervös person förmodligen. :)

 

Ciao,

Anders

 

[inlägget ändrat 2002-05-20 16:47:37 av Anders N]

Dela detta inlägg


Länk till inlägg
Dela på andra webbplatser

Ok, hur menar du att du gör för att ansluta till servern? Det känns ju iallafall som om det är lite överkurs för Pelle 14 år som vill skicka ett internt meddelande på en community i någon annans namn?

 

Berätta gärna mer om hur du gjorde..

 

/Niklas

 

 

 

 

Dela detta inlägg


Länk till inlägg
Dela på andra webbplatser

Nä, det låter ju osannolikt(?) eller det kanske man inte ska säga om såna som dig ;o)

 

Säg gärna till om du hittar "säkerhetsluckor" fast maila då gärna privat så inte alla får veta det..

 

/Niklas

 

 

 

 

Dela detta inlägg


Länk till inlägg
Dela på andra webbplatser

Start, kör:

telnet www.sprintern.com 80

 

POST /test/test.asp HTTP/1.0

Host: www.sprintern.com

Referer: http://www.sprintern.com/test/

Content-Lenth: 6

 

test=1

 

 

> Det känns ju iallafall som om det är

> lite överkurs för Pelle 14 år som

> vill skicka ett internt meddelande på

> en community i någon annans namn?

 

Ja, det är överkurs vad det gäller att veta, men det är inte överkurs vad det gäller att ta reda på. Vill verkligen Pelle 14 år ställa till det för någon så behöver han ju bara fråga någon som är duktigare, för det här är ju verkligen busenkelt att gå runt när man vet hur. Och när man väl en gång lärt sig det, så... Ja, som jag sa tidigare; det finns ingen säkerhet i det.

 

 

Dela detta inlägg


Länk till inlägg
Dela på andra webbplatser

Man borde väl kunna stänga av Telnet-access på servern?

 

/Niklas

 

 

 

 

Dela detta inlägg


Länk till inlägg
Dela på andra webbplatser

 

Han ansluter till port 80, HTTP. Precis som en webbläsare gör. Det är ingenting som du kan/bör blocka :)

 

Det GÅR inte att stoppa att någon kan talla på referrer, eller, som jag gjorde, ändra "direkt i html:en".

 

Ciao,

Anders

 

Dela detta inlägg


Länk till inlägg
Dela på andra webbplatser

 

Hmmm.. nu går den sådär slött igen.. (när jag gjorde "samma sak".. :)

 

Ska låta just det vara nu.. epostar dig senare idag eller imorgon..

 

Ska kolla upp ett par andra saker också när webbservern fungerar som den skall igen :-/

 

Ciao,

Anders

 

Dela detta inlägg


Länk till inlägg
Dela på andra webbplatser

> Detta påminner mig om din google-grej

> på hemsidan Thomas :)

 

Jo, fast det var nästan värre, för där hade jag gjort ett misstag. Jag visste mycket väl att man kunde ändra headern hur man ville, men jag hade glömt bort att kontrollera den informationen.

 

Så, det medförde alltså att den som ville kunde stoppa in valfri html-kod på min hemsida. Men Anders här upptäckte det och talade om det för mig så jag kunde fixa det.

 

 

Dela detta inlägg


Länk till inlägg
Dela på andra webbplatser

Färdig!

 

Detta fick jag tillbaka:

 

"Password: gladh rules the world"

 

Det tog visst mer än 10 minuter.. sorry... ;)

Det var liiite värre än vad jag trodde först....

[inlägget ändrat 2002-05-20 23:42:08 av Mr Andersson]

Dela detta inlägg


Länk till inlägg
Dela på andra webbplatser

 

Färdig!

Det tog visst mer än 10 minuter.. sorry... ;)

 

Övning ger färdighet.. men.. visst är det kul? :)

 

Ciao,

Anders

 

Dela detta inlägg


Länk till inlägg
Dela på andra webbplatser

Kul och kul.... Jag visar bara att man inte kan lita på Referer. Visserligen verkar han använda det i kombination med session-ID, men det går ju att kopiera det också....

 

Dela detta inlägg


Länk till inlägg
Dela på andra webbplatser

 

i kombination med session-ID, men det går ju att kopiera det också....

 

Precis.

 

Fast.. är det bara jag som tycker sådant här är.. "kul" ?

 

Ciao,

Anders

 

Dela detta inlägg


Länk till inlägg
Dela på andra webbplatser

hmmm...

 

skall nog få till det på någon vänster så du inte kan fixa det...

 

Fast just nu har jag inte tid...

Skall se ikväll om jag kan lura ut något.

 

- Magnus

----------------------------------------

Ropen skalla, BBB åt alla

 

Dela detta inlägg


Länk till inlägg
Dela på andra webbplatser

Har klurat ut det, om du kommer på det så tar det iallafall ett litet tag..

 

Skall bara komma åt så jag kan ladda upp filerna på server, men efter lunch skall de var uppe..

 

- Magnus

----------------------------------------

Ropen skalla, BBB åt alla

 

Dela detta inlägg


Länk till inlägg
Dela på andra webbplatser

Japp! Samma som innan bara nytt vattentätt skydd som du aldrig klara, har nu i efterhand kommit på att jag har varit lite taskig, men skall berätta hur jag gjort senare när du givit upp :)

 

- Magnus

----------------------------------------

Ropen skalla, BBB åt alla

 

Dela detta inlägg


Länk till inlägg
Dela på andra webbplatser
jag gjort senare när du givit upp :)

 

hahahahaha!!!!

 

Jag har dock inte tid förrän i kväll, men det borde inte vara några problem. Så länge en webläsare kan hantera det, kan jag också det...

[inlägget ändrat 2002-05-21 11:53:45 av Mr Andersson]

Dela detta inlägg


Länk till inlägg
Dela på andra webbplatser

Nu funkar den inte ifall webbläsaren inte tillåter sessioncookies. (inte HELT ovanligt)

 

Det är bra att öka säkerheten, men, om möjligt bör man undvika att minska tillgängligheten.

 

Detta går att fixa genom att du även postar ett ID, som du lagrar i databasen och verifierar mot (istället för att göra den med session-variabler), och verifierar ID:t med någon hash-funktion, eller lagrar värdet hash:at, som Thomas sagt.

 

Ciao,

Anders

 

 

Dela detta inlägg


Länk till inlägg
Dela på andra webbplatser

Jag har kommit fram till att du kollar om fältet är lika med 10. Kör jag mitt specialgjorda progam och skickar 10 så går det igenom, men skriver jag något annat (tex 20) så kommer jag inte igenom.

 

Givetvis blir det vattentätt, men hur gör du för att skicka värden som inte är bestämda innan?

Jag menar, vet du värdet innan, behöver du inte skicka det via ett formulär.....

 

 

 

[inlägget ändrat 2002-05-21 18:41:01 av Mr Andersson]

Dela detta inlägg


Länk till inlägg
Dela på andra webbplatser

Skapa ett konto eller logga in för att kommentera

Du måste vara medlem för att kunna kommentera

Skapa ett konto

Skapa ett nytt konto på vårt forum. Det är lätt!

Registrera ett nytt konto

Logga in

Redan medlem? Logga in här.

Logga in nu



×
×
  • Skapa nytt...