Just nu i M3-nätverket
Jump to content

osynlig funktion


Makarena

Recommended Posts

  • Replies 51
  • Created
  • Last Reply

 

hmm... jag skapade ett konto och lite sådant där.. Sedan kollade jag i min gästbok, och.. "tallade lite"... Nu går det otroligt slött på sprintern.com.. Jag tror/hoppas inte det var mitt fel?

 

Tillägg:

hmm.. verkar fungera bra nu. Bara jag som är en nervös person förmodligen. :)

 

Ciao,

Anders

 

[inlägget ändrat 2002-05-20 16:47:37 av Anders N]

Link to comment
Share on other sites

Ok, hur menar du att du gör för att ansluta till servern? Det känns ju iallafall som om det är lite överkurs för Pelle 14 år som vill skicka ett internt meddelande på en community i någon annans namn?

 

Berätta gärna mer om hur du gjorde..

 

/Niklas

 

 

 

 

Link to comment
Share on other sites

Nä, det låter ju osannolikt(?) eller det kanske man inte ska säga om såna som dig ;o)

 

Säg gärna till om du hittar "säkerhetsluckor" fast maila då gärna privat så inte alla får veta det..

 

/Niklas

 

 

 

 

Link to comment
Share on other sites

Thomas Tydal

Start, kör:

telnet www.sprintern.com 80

 

POST /test/test.asp HTTP/1.0

Host: www.sprintern.com

Referer: http://www.sprintern.com/test/

Content-Lenth: 6

 

test=1

 

 

> Det känns ju iallafall som om det är

> lite överkurs för Pelle 14 år som

> vill skicka ett internt meddelande på

> en community i någon annans namn?

 

Ja, det är överkurs vad det gäller att veta, men det är inte överkurs vad det gäller att ta reda på. Vill verkligen Pelle 14 år ställa till det för någon så behöver han ju bara fråga någon som är duktigare, för det här är ju verkligen busenkelt att gå runt när man vet hur. Och när man väl en gång lärt sig det, så... Ja, som jag sa tidigare; det finns ingen säkerhet i det.

 

 

Link to comment
Share on other sites

 

Han ansluter till port 80, HTTP. Precis som en webbläsare gör. Det är ingenting som du kan/bör blocka :)

 

Det GÅR inte att stoppa att någon kan talla på referrer, eller, som jag gjorde, ändra "direkt i html:en".

 

Ciao,

Anders

 

Link to comment
Share on other sites

 

Hmmm.. nu går den sådär slött igen.. (när jag gjorde "samma sak".. :)

 

Ska låta just det vara nu.. epostar dig senare idag eller imorgon..

 

Ska kolla upp ett par andra saker också när webbservern fungerar som den skall igen :-/

 

Ciao,

Anders

 

Link to comment
Share on other sites

Thomas Tydal

> Detta påminner mig om din google-grej

> på hemsidan Thomas :)

 

Jo, fast det var nästan värre, för där hade jag gjort ett misstag. Jag visste mycket väl att man kunde ändra headern hur man ville, men jag hade glömt bort att kontrollera den informationen.

 

Så, det medförde alltså att den som ville kunde stoppa in valfri html-kod på min hemsida. Men Anders här upptäckte det och talade om det för mig så jag kunde fixa det.

 

 

Link to comment
Share on other sites

Mr Andersson

Färdig!

 

Detta fick jag tillbaka:

 

"Password: gladh rules the world"

 

Det tog visst mer än 10 minuter.. sorry... ;)

Det var liiite värre än vad jag trodde först....

[inlägget ändrat 2002-05-20 23:42:08 av Mr Andersson]

Link to comment
Share on other sites

Mr Andersson

Kul och kul.... Jag visar bara att man inte kan lita på Referer. Visserligen verkar han använda det i kombination med session-ID, men det går ju att kopiera det också....

 

Link to comment
Share on other sites

 

i kombination med session-ID, men det går ju att kopiera det också....

 

Precis.

 

Fast.. är det bara jag som tycker sådant här är.. "kul" ?

 

Ciao,

Anders

 

Link to comment
Share on other sites

Magnus Gladh

hmmm...

 

skall nog få till det på någon vänster så du inte kan fixa det...

 

Fast just nu har jag inte tid...

Skall se ikväll om jag kan lura ut något.

 

- Magnus

----------------------------------------

Ropen skalla, BBB åt alla

 

Link to comment
Share on other sites

Magnus Gladh

Har klurat ut det, om du kommer på det så tar det iallafall ett litet tag..

 

Skall bara komma åt så jag kan ladda upp filerna på server, men efter lunch skall de var uppe..

 

- Magnus

----------------------------------------

Ropen skalla, BBB åt alla

 

Link to comment
Share on other sites

Magnus Gladh

Japp! Samma som innan bara nytt vattentätt skydd som du aldrig klara, har nu i efterhand kommit på att jag har varit lite taskig, men skall berätta hur jag gjort senare när du givit upp :)

 

- Magnus

----------------------------------------

Ropen skalla, BBB åt alla

 

Link to comment
Share on other sites

Mr Andersson
jag gjort senare när du givit upp :)

 

hahahahaha!!!!

 

Jag har dock inte tid förrän i kväll, men det borde inte vara några problem. Så länge en webläsare kan hantera det, kan jag också det...

[inlägget ändrat 2002-05-21 11:53:45 av Mr Andersson]

Link to comment
Share on other sites

Nu funkar den inte ifall webbläsaren inte tillåter sessioncookies. (inte HELT ovanligt)

 

Det är bra att öka säkerheten, men, om möjligt bör man undvika att minska tillgängligheten.

 

Detta går att fixa genom att du även postar ett ID, som du lagrar i databasen och verifierar mot (istället för att göra den med session-variabler), och verifierar ID:t med någon hash-funktion, eller lagrar värdet hash:at, som Thomas sagt.

 

Ciao,

Anders

 

 

Link to comment
Share on other sites

Mr Andersson

Jag har kommit fram till att du kollar om fältet är lika med 10. Kör jag mitt specialgjorda progam och skickar 10 så går det igenom, men skriver jag något annat (tex 20) så kommer jag inte igenom.

 

Givetvis blir det vattentätt, men hur gör du för att skicka värden som inte är bestämda innan?

Jag menar, vet du värdet innan, behöver du inte skicka det via ett formulär.....

 

 

 

[inlägget ändrat 2002-05-21 18:41:01 av Mr Andersson]

Link to comment
Share on other sites

Archived

This topic is now archived and is closed to further replies.




×
×
  • Create New...