Zpět na seznam článků     Zpět na článek

Komentáře ke článku

 
 
 BBCode
.cCuMiNn. | E-mail | Website | PGP11.10.2007 13:51
m: Zřejmě jsi ten útok vůbec nepochopil. Každá oběť se totiž hackuje sama ze své vlastní IP adresy, takže je ti nějaká ochrana hlídáním ip naprosto k ničemu :)

----------
Teprve když vstáváte s hackingem a uléháte s myšlenkou na něj, máte šanci být hackerem.
m | 195.122.204.*11.10.2007 13:48
ahoj,
ad webmail - autor zcela opominul, ze u sessions se kontroluje IP adresa, pak je sessions zneplatnena. hackovat sam sebe ze stejne IP adresy, a jeste se tim pochlubit, tak tomu rikam odvaz ;o))) nicmene session_regenerate_id je dobrej tip.
(omezi tim i moznost zneuzitelnosti za stejnou IP adresou).
xtrip | E-mail11.10.2007 13:47
Emkei: není to škoda... Administrátoři potom aspoň pochopí co udělali špatně.
Emkei | E-mail | Website | PGP10.10.2007 23:22
hezkej report, chvalit te me uz za tu dobu omrzelo, clovek by nedelal nic jinyho =)
pro programatory jen doplnim, ze zminovana technika se oznacuje jako "Session Fixation" a lze ji predejit jednoduse zavolanim PHP funkce
session_regenerate_id(true);
bezprostredne po prihlaseni. krome soomu jsem se ale s timto opatrenim jeste nikde nesetkal. skoda, nebo ne...? =)
qteck | E-mail | Website | ICQ 36425086910.10.2007 21:59
.cCuMiNn.: nz, tez si na to pamatuju :)).

----------
[link]

[link]

Někdy kokot kokotem není, někdy je to prostě jenom pták.
.cCuMiNn. | E-mail | Website | PGP10.10.2007 21:40
qteck: jj, o tom reportu vím. Psal jsem o něm dokonce v aktualitách :)
Myslel jsem, že je to už dávno zazáplatované a proto jsem to nezkoušel. Vzpomínám si dokonce na vyyjádření Volného k této záležitosti :) Prý neukládají do cookies žádné důvěrné informace a proto je zneužití nemožné :) Do konce týdne zde zveřejním exploit, který přesměruje příchozí poštu jen na základě prohlídnutí zprávy :)
Díky za nakopnutí...

----------
Teprve když vstáváte s hackingem a uléháte s myšlenkou na něj, máte šanci být hackerem.
qteck | E-mail | Website | ICQ 36425086910.10.2007 21:24
Jinak clanek se mi tez libyl.

----------
[link]

[link]

Někdy kokot kokotem není, někdy je to prostě jenom pták.
qteck | E-mail | Website | ICQ 36425086910.10.2007 21:22
.cCuMiNn.: nevim jestli je to jeste aktualni ale kdysi jsem vydal report o chybach na ticali, cetrumu, a volnym. Centrum a tiscali chybu opravili. Volny, vsak ne.

Volny muze prijmat html dokumenty zranitelne na xss. Tusim ze se tam tez zabrazovali pro tebe potrebne veci.

Jinak jestli se chystas testnout neco dalsiho tak zacni na spoluzakach. V "dokumntech". Tez neosetrene vkladani html..

----------
[link]

[link]

Někdy kokot kokotem není, někdy je to prostě jenom pták.
xtrip | E-mail10.10.2007 19:49
.cCuMiNn.: jako vždy; kvalita. Kéž tady by bylo takovych lidí vice
acetone_bodies10.10.2007 19:10
Vynikající článek :)

Stránky: 1 2 3
© 2003–2024 SOOM.cz | ISSN 1804-7270 | info@soom.cz | IRC #soom | changelog | YmYzY