Just nu i M3-nätverket
Gå till innehåll
Eforum är stängt för nya inlägg och svar sedan 20 juni 2022. Klicka för att läsa vad som hände och om alternativ.

osynlig funktion

Makarena

Startad av Makarena,
i Webbutveckling

Rekommendera Poster

Thomas Tydal

Thomas Tydal

Postad
Postad

Jovisst, det finns ju ingen säkerhet i det utan det är ju bara kosmetika.

 

 

Länk till kommentar
Dela på andra webbplatser
  • Svars 51
  • Skapad
  • Senaste svar
Anders N

Anders N

Postad
Postad

 

hmm... jag skapade ett konto och lite sådant där.. Sedan kollade jag i min gästbok, och.. "tallade lite"... Nu går det otroligt slött på sprintern.com.. Jag tror/hoppas inte det var mitt fel?

 

Tillägg:

hmm.. verkar fungera bra nu. Bara jag som är en nervös person förmodligen. :)

 

Ciao,

Anders

 

[inlägget ändrat 2002-05-20 16:47:37 av Anders N]

Länk till kommentar
Dela på andra webbplatser
ns

ns

Postad
Postad

Ok, hur menar du att du gör för att ansluta till servern? Det känns ju iallafall som om det är lite överkurs för Pelle 14 år som vill skicka ett internt meddelande på en community i någon annans namn?

 

Berätta gärna mer om hur du gjorde..

 

/Niklas

 

 

 

 

Länk till kommentar
Dela på andra webbplatser
ns

ns

Postad
Postad

Nä, det låter ju osannolikt(?) eller det kanske man inte ska säga om såna som dig ;o)

 

Säg gärna till om du hittar "säkerhetsluckor" fast maila då gärna privat så inte alla får veta det..

 

/Niklas

 

 

 

 

Länk till kommentar
Dela på andra webbplatser
Thomas Tydal

Thomas Tydal

Postad
Postad

Start, kör:

telnet www.sprintern.com 80

 

POST /test/test.asp HTTP/1.0

Host: www.sprintern.com

Referer: http://www.sprintern.com/test/

Content-Lenth: 6

 

test=1

 

 

> Det känns ju iallafall som om det är

> lite överkurs för Pelle 14 år som

> vill skicka ett internt meddelande på

> en community i någon annans namn?

 

Ja, det är överkurs vad det gäller att veta, men det är inte överkurs vad det gäller att ta reda på. Vill verkligen Pelle 14 år ställa till det för någon så behöver han ju bara fråga någon som är duktigare, för det här är ju verkligen busenkelt att gå runt när man vet hur. Och när man väl en gång lärt sig det, så... Ja, som jag sa tidigare; det finns ingen säkerhet i det.

 

 

Länk till kommentar
Dela på andra webbplatser
Anders N

Anders N

Postad
Postad

 

Han ansluter till port 80, HTTP. Precis som en webbläsare gör. Det är ingenting som du kan/bör blocka :)

 

Det GÅR inte att stoppa att någon kan talla på referrer, eller, som jag gjorde, ändra "direkt i html:en".

 

Ciao,

Anders

 

Länk till kommentar
Dela på andra webbplatser
Anders N

Anders N

Postad
Postad

 

Hmmm.. nu går den sådär slött igen.. (när jag gjorde "samma sak".. :)

 

Ska låta just det vara nu.. epostar dig senare idag eller imorgon..

 

Ska kolla upp ett par andra saker också när webbservern fungerar som den skall igen :-/

 

Ciao,

Anders

 

Länk till kommentar
Dela på andra webbplatser
Thomas Tydal

Thomas Tydal

Postad
Postad

> Detta påminner mig om din google-grej

> på hemsidan Thomas :)

 

Jo, fast det var nästan värre, för där hade jag gjort ett misstag. Jag visste mycket väl att man kunde ändra headern hur man ville, men jag hade glömt bort att kontrollera den informationen.

 

Så, det medförde alltså att den som ville kunde stoppa in valfri html-kod på min hemsida. Men Anders här upptäckte det och talade om det för mig så jag kunde fixa det.

 

 

Länk till kommentar
Dela på andra webbplatser
Magnus Gladh

Magnus Gladh

Postad
Postad

Du får en liten utmaning av mig...

 

Kan du knäcka denna länk... utan att hacka servern då utan med hjälp av att ändra i variabler..

 

http://www.gladh.nu/test/test.asp

 

- Magnus

----------------------------------------

Ropen skalla, BBB åt alla

 

Länk till kommentar
Dela på andra webbplatser
Mr Andersson

Mr Andersson

Postad
Postad

Färdig!

 

Detta fick jag tillbaka:

 

"Password: gladh rules the world"

 

Det tog visst mer än 10 minuter.. sorry... ;)

Det var liiite värre än vad jag trodde först....

[inlägget ändrat 2002-05-20 23:42:08 av Mr Andersson]

Länk till kommentar
Dela på andra webbplatser
Anders N

Anders N

Postad
Postad

 

Färdig!

Det tog visst mer än 10 minuter.. sorry... ;)

 

Övning ger färdighet.. men.. visst är det kul? :)

 

Ciao,

Anders

 

Länk till kommentar
Dela på andra webbplatser
Mr Andersson

Mr Andersson

Postad
Postad

Kul och kul.... Jag visar bara att man inte kan lita på Referer. Visserligen verkar han använda det i kombination med session-ID, men det går ju att kopiera det också....

 

Länk till kommentar
Dela på andra webbplatser
Anders N

Anders N

Postad
Postad

 

i kombination med session-ID, men det går ju att kopiera det också....

 

Precis.

 

Fast.. är det bara jag som tycker sådant här är.. "kul" ?

 

Ciao,

Anders

 

Länk till kommentar
Dela på andra webbplatser
Mr Andersson

Mr Andersson

Postad
Postad

Jag tycker det är kul också, men bara om man inte har nåt vettigare att göra....;))

 

Länk till kommentar
Dela på andra webbplatser
Magnus Gladh

Magnus Gladh

Postad
Postad

hmmm...

 

skall nog få till det på någon vänster så du inte kan fixa det...

 

Fast just nu har jag inte tid...

Skall se ikväll om jag kan lura ut något.

 

- Magnus

----------------------------------------

Ropen skalla, BBB åt alla

 

Länk till kommentar
Dela på andra webbplatser
Magnus Gladh

Magnus Gladh

Postad
Postad

Har klurat ut det, om du kommer på det så tar det iallafall ett litet tag..

 

Skall bara komma åt så jag kan ladda upp filerna på server, men efter lunch skall de var uppe..

 

- Magnus

----------------------------------------

Ropen skalla, BBB åt alla

 

Länk till kommentar
Dela på andra webbplatser
Magnus Gladh

Magnus Gladh

Postad
Postad

Japp! Samma som innan bara nytt vattentätt skydd som du aldrig klara, har nu i efterhand kommit på att jag har varit lite taskig, men skall berätta hur jag gjort senare när du givit upp :)

 

- Magnus

----------------------------------------

Ropen skalla, BBB åt alla

 

Länk till kommentar
Dela på andra webbplatser
Mr Andersson

Mr Andersson

Postad
Postad
jag gjort senare när du givit upp :)

 

hahahahaha!!!!

 

Jag har dock inte tid förrän i kväll, men det borde inte vara några problem. Så länge en webläsare kan hantera det, kan jag också det...

[inlägget ändrat 2002-05-21 11:53:45 av Mr Andersson]

Länk till kommentar
Dela på andra webbplatser
Anders N

Anders N

Postad
Postad

Nu funkar den inte ifall webbläsaren inte tillåter sessioncookies. (inte HELT ovanligt)

 

Det är bra att öka säkerheten, men, om möjligt bör man undvika att minska tillgängligheten.

 

Detta går att fixa genom att du även postar ett ID, som du lagrar i databasen och verifierar mot (istället för att göra den med session-variabler), och verifierar ID:t med någon hash-funktion, eller lagrar värdet hash:at, som Thomas sagt.

 

Ciao,

Anders

 

 

Länk till kommentar
Dela på andra webbplatser
Mr Andersson

Mr Andersson

Postad
Postad

Jag har kommit fram till att du kollar om fältet är lika med 10. Kör jag mitt specialgjorda progam och skickar 10 så går det igenom, men skriver jag något annat (tex 20) så kommer jag inte igenom.

 

Givetvis blir det vattentätt, men hur gör du för att skicka värden som inte är bestämda innan?

Jag menar, vet du värdet innan, behöver du inte skicka det via ett formulär.....

 

 

 

[inlägget ändrat 2002-05-21 18:41:01 av Mr Andersson]

Länk till kommentar
Dela på andra webbplatser

Arkiverat

Det här ämnet är nu arkiverat och är stängt för ytterligare svar.

Gå till ämneslista


×
×
  • Skapa nytt...