קוקיז או סשן? מה עדיף? - הוסטס

eLad · 02-04-06, 17:09

ציטוט:

נכתב במקור על ידי SsH S Scripts

אני שם קוקי אחד גם ID גם USER וגם PASS ומפריד ומשתמש בexplode
ואת הPASS בMD5

עם השילוב הזה הרגת לך את כל האבטחה באתר.

למה אתה שומר גם user וגם ID במסד?

למה בכלל לשמור סיסמא בעוגיה? טעות אבטחה קריטית

meshuga · 02-04-06, 17:10

ציטוט:

נכתב במקור על ידי eLad

עם השילוב הזה הרגת לך את כל האבטחה באתר.

למה אתה שומר גם user וגם ID במסד?

למה בכלל לשמור סיסמא בעוגיה? טעות אבטחה קריטית

אז איך משאירים מישהו מחובר בלי אימות סיסמה?.....
להשאיר רק ID ? ואז כל אחד שיודע איך לשנות עוגיה יוכל לפרוץ...
אם יש לך שיטה טובה אתה מוזמן לשתף אותנו

~~HighA~~ · 02-04-06, 17:12

ציטוט:

נכתב במקור על ידי meshuga

אז איך משאירים מישהו מחובר בלי אימות סיסמה?.....
להשאיר רק ID ? ואז כל אחד שיודע איך לשנות עוגיה יוכל לפרוץ...
אם יש לך שיטה טובה אתה מוזמן לשתף אותנו

נכון
רגע מה זה משנה אם הוא ישנה את הID והUSER שיתאימו למשתמש של האדמין
הסיסמא לא תהיה נכונה גם כי הוא לא יודע וגם כי זה MD5

meshuga · 02-04-06, 17:13

ציטוט:

נכתב במקור על ידי SsH S Scripts

נכון
רגע מה זה משנה אם הוא ישנה את הID והUSER שיתאימו למשתמש של האדמין
הסיסמא לא תהיה נכונה גם כי הוא לא יודע וגם כי זה MD5

אגב, היוזר זה די מטומטם לשים אם שמת כבר את הID...
ואלעד, אם זה פרצת אבטחה כ"כ גדולה, זה מוזר שכל אתר עם כניסת משתמש אוטומטית (כגון פורום) עושה את זה (כולל זה שאנחנו עכשיו מדברים על גבי דפיו).

eLad · 02-04-06, 17:43

ציטוט:

נכתב במקור על ידי meshuga

ואלעד, אם זה פרצת אבטחה כ"כ גדולה, זה מוזר שכל אתר עם כניסת משתמש אוטומטית (כגון פורום) עושה את זה (כולל זה שאנחנו עכשיו מדברים על גבי דפיו).

כל אתר שומר את הסיסמא בעוגייה? אני ממש לא חושב ככה.
וגם אם עושים את זה אז זו תפיסת אבטחה מוטעית מיסודה ולא ככה עושים את הדברים..

בכלל - סיסמאת משתמש היא אחד הדברים שצריכים להיות שמורים ביותר לאחר ביצוע הרשמה. אין שום טעם לפרסם אותה בעוגיה כדי שכל אחד יוכל לעיין בזה (אפילו אם זה מוצפן ב MD5), ועל אחת כמה וכמה שכל העולם ואישתו משתמשים ב MD5.

איך בקלות אני פורץ לכם את האבטחה במקרה הזה?

נניח ומדובר במערכת פורומים ובעוגייה נשמרים ה userID וה userPassword (מוצפן ב MD5).
לצורך העניין ה userID הוא 6523 וה userPassword זה 32 תווים מסויימים שהנפיק ה md5.

אני נרשם לפורום בתור משתמש רגיל, הולך לפרופיל משתמש של יוזר 6523. על ידי כך מצאתי את ה userName שלו.

אני הולך לעוגיה שגנבתי, מוציא משם את ה 32 תווים שהנפיק ה MD5, מכניס את ה 32 תווים האלו בגוגל ותוך שניות אני מקבל ביטוי שיכול להרכיב את ההצפנה הזאתי (אתם יודעים שלמשל למילה "שלום" ולביטוי "whats up" ייתכן אותו פלט?).

ברגע שקיבלתי את הביטוי שהוצפן (נניח וזה המילה "אלעד") אני הולך לטופס התחברות ומתחבר עם הפרטים שבידיי - היוזר שמצאתי והביטוי שהוצפן מגוגל. היופי בדבר הוא שאני אפילו לא צריך לדעת מה הסיסמא האמיתית של הבחור כי כל הבדיקות שאתם עושים זה פשוט להצפין את המחרוזת שקיבלתם ולהשוות אותה למה שיש במסד. במקרה הזה הביטוי שמצאתי בגוגל יהיה שווה לביטוי שיש במסד.. והופס.. אני בפנים

ואלו היום 60 שניות עם אלעד איך פורצים אבטחה של פורום שחושב שהוא חכם ושומר סיסמא בעוגייה

meshuga · 02-04-06, 17:52

ציטוט:

נכתב במקור על ידי eLad

כל אתר שומר את הסיסמא בעוגייה? אני ממש לא חושב ככה.
וגם אם עושים את זה אז זו תפיסת אבטחה מוטעית מיסודה ולא ככה עושים את הדברים..

בכלל - סיסמאת משתמש היא אחד הדברים שצריכים להיות שמורים ביותר לאחר ביצוע הרשמה. אין שום טעם לפרסם אותה בעוגיה כדי שכל אחד יוכל לעיין בזה (אפילו אם זה מוצפן ב MD5), ועל אחת כמה וכמה שכל העולם ואישתו משתמשים ב MD5.

איך בקלות אני פורץ לכם את האבטחה במקרה הזה?

נניח ומדובר במערכת פורומים ובעוגייה נשמרים ה userID וה userPassword (מוצפן ב MD5).
לצורך העניין ה userID הוא 6523 וה userPassword זה 32 תווים מסויימים שהנפיק ה md5.

אני נרשם לפורום בתור משתמש רגיל, הולך לפרופיל משתמש של יוזר 6523. על ידי כך מצאתי את ה userName שלו.

אני הולך לעוגיה שגנבתי, מוציא משם את ה 32 תווים שהנפיק ה MD5, מכניס את ה 32 תווים האלו בגוגל ותוך שניות אני מקבל ביטוי שיכול להרכיב את ההצפנה הזאתי (אתם יודעים שלמשל למילה "שלום" ולביטוי "whats up" ייתכן אותו פלט?).

ברגע שקיבלתי את הביטוי שהוצפן (נניח וזה המילה "אלעד") אני הולך לטופס התחברות ומתחבר עם הפרטים שבידיי - היוזר שמצאתי והביטוי שהוצפן מגוגל. היופי בדבר הוא שאני אפילו לא צריך לדעת מה הסיסמא האמיתית של הבחור כי כל הבדיקות שאתם עושים זה פשוט להצפין את המחרוזת שקיבלתם ולהשוות אותה למה שיש במסד. במקרה הזה הביטוי שמצאתי בגוגל יהיה שווה לביטוי שיש במסד.. והופס.. אני בפנים

ואלו היום 60 שניות עם אלעד איך פורצים אבטחה של פורום שחושב שהוא חכם ושומר סיסמא בעוגייה

אז איך אתה רוצה לעשות את זה?....כי לפי מה שאמרת ברגע זה אתה יכול לפרוץ לי למשתמש פה.

eLad · 02-04-06, 18:00

ציטוט:

נכתב במקור על ידי meshuga

אז איך אתה רוצה לעשות את זה?....כי לפי מה שאמרת ברגע זה אתה יכול לפרוץ לי למשתמש פה.

יש שיטות אחרות טובות יותר לבצע את זה. design אחר ל DB.

בכל מקרה אני לא יכול לפרוץ לך למשתמש פה מהסיבה הפשוטה שלא השגתי עדיין את העוגייה שלך. אם אני אמצא איזה באג במערכת (רמז רמז העלאת קבצים ושימוש ב document.cookie לדומיין שלי) אז המשתמש שלך בהחלט נפרץ.

כלים לאשכול
הצגת גרסת הדפסה שלח דף זה באימייל
תצורת הצגה
עבור לתצורה לניארית תצורה משולבת עבור לתצורת אשכולות


	ההרשמה לפורום נפתחה - אפשרות רישום לכל אימייל (דומיינים פרטיים, gmail, הוטמייל..)!

חברים פעילים הצופים באשכול זה: 1 (0 חברים ו- 1 אורחים)