Pokaż wyniki 1 do 6 z 6

Temat: Tokeny - np. przy zakładaniu maila

  1. #1
    Zarejestrowany
    Oct 2008
    Postów
    2

    Domyślnie Tokeny - np. przy zakładaniu maila

    Otóż mam taki problem - jeśli istnieje takie coś jak SQL injection, czyli wstrzykiwanie kodu do boxa z hasłem i omijanie w ten sposób konieczości wpisywania hasła - to musi istnieć też injekcja do tokena. Czyli jeśli wpiszemy do okienka tokena jakiś ciąg kodu PHP to może potraktuje to jako wygenerowanego tokena i przepuści dalej.

    Chodzi mi o coś takiego:
    Kod php:
    get fkintokenfromuser;
    if (
    wygenerowanytoken=fkintokenfromuser) {
     do 
    afkinaccforthislame; } 
    Jak wpiszemy zamiast fkintokenfromuser =1 AND 1=1 to powinno nas przepuścić, bo kod będzie wyglądał tak:
    Kod php:
    get =AND 1=1;
    if (
    wygenerowanytoken==AND 1=1) {
     do 
    afkinaccforthislame; } 
    Może mi podpowiecie czy coś takiego jest możliwe, byłbym wdzięczny za pomoc.

  2. #2
    Avatar GSG-9
    GSG-9 jest offline Shapeshifter
    Zarejestrowany
    Jul 2007
    Skąd
    C:\Perl\bin
    Postów
    1,578

    Domyślnie

    To jakiś pseudo php jest... Sprawdzanie tokena nie ma nic do rzeczy z bazą danych, jest inaczej filtrowane
    War, war never changes.

  3. #3
    rip
    rip jest offline Banned
    Zarejestrowany
    May 2008
    Postów
    534

    Domyślnie

    sprawy z tokenami sa nieco inne, jesli nie rozumiesz webhackingu... powodzenia, przyda ci sie.
    zazwyczaj mozna uzyc 1 nieskonczenie wiele razy

  4. #4
    Zarejestrowany
    Oct 2008
    Postów
    2

    Domyślnie

    Hmm, no to może mi odpowiecie jak wstrzyknąć jakieś zapytanie do tego filtra tokenów, czy nie da się?

  5. #5
    Avatar Hardiel
    Hardiel jest offline Damian
    Zarejestrowany
    May 2008
    Skąd
    Kielce
    Postów
    121

    Domyślnie

    Wydaje mi sie że w zła stronę idziesz nie lepiej w kierunku botów łamiących tokeny?

  6. #6
    rip
    rip jest offline Banned
    Zarejestrowany
    May 2008
    Postów
    534

    Domyślnie

    tokeny sprawdzaja jakas zmienna z sesji, i porownuja ja do zmiennej z geta/posta. kombinuj, to nie jest trudne.

    przyda ci sie live http headers

Podobne wątki

  1. wysyłanie maila ze strony
    By 4ndr1u in forum Newbie - dla początkujących!
    Odpowiedzi: 2
    Autor: 09-08-2008, 19:14
  2. Wysyłanie maila bez nagłówka
    By Vel in forum Security
    Odpowiedzi: 12
    Autor: 08-23-2008, 12:51
  3. Cafeini - wysyłanie maila
    By pierzu in forum Wirusy/Konie trojańskie
    Odpowiedzi: 1
    Autor: 09-30-2007, 16:19
  4. alians na maila
    By scorpio in forum Newbie - dla początkujących!
    Odpowiedzi: 5
    Autor: 08-06-2007, 17:44
  5. logowanie na maila
    By parolL in forum TCP/IP/Analiza/Badanie
    Odpowiedzi: 3
    Autor: 04-23-2007, 16:12

Zasady Postowania

  • Nie możesz zakładać nowych tematów
  • Nie możesz pisać wiadomości
  • Nie możesz dodawać załączników
  • Nie możesz edytować swoich postów
  •  
Subskrybuj

1 2 3 4 5 6 7 8 9 10 11 12 13 14 15 16 17 18 19 20 21 22 23 24 25 26 27 28 29 30 31 32 33 34 35 36 37 38 39 40 41 42 43 44 45 46 47 48 49 50 51 52