Меню
Что нового?

Как запретить юзать get ?

Сенсей

Новичок
Originally posted by Crazy
Я так понимаю, Сенсей, что приврал ты малость. И ничего нафантазировать не выходит? :)
Нажмите для раскрытия...
Ну почему приврал ... просто засвечиваться не хочу ... про hxxp://rst.void.ru/ слышал ?

Но я уже понял что даные нужно проверять ...
 
Фанат

Фанат

oncle terrible
Команда форума
крейзи, ну, один способ я могу привести.
Очень популярный в конце 90-х движок "ломали" через селект с цветом, который не проверялся. Тег с цветом аккуратно закрывался и дальше писалось все, что угодно - от бешеных сайзов и картинок - и до картинок-сниферов.
 

Сенсей

Новичок
Тут вот проблемка по серьезнее ....

Нюка генерит пароль в md5 и ложит базу ... потом ты логинишься ... и в кукас сохраняется хешь ты спокойно ходишь по админке .. вроде так оно работает .. но есть способ стырить md5 админа ..

потом делается так : логин:пароль в md5 кодируются в base64

потом написав в урле браузера:



http://сайт/admin.php?admin=хешь base64


И любой может ходить по админке делать че хочешь ...

Серьезная проблема .. я не знаю как решить .... ведь даные о админе берутся с кукис .. почему эта фигня действует ?
 
fixxxer

fixxxer

К.О.
Партнер клуба
но есть способ стырить md5 админа ..
Нажмите для раскрытия...
вот в этом и проблема.
какая разница, куда потом подставлять - в QueryString или в куки?
думаешь очень сложно ручками подставить нужную куку?
 
Войдите или зарегистрируйтесь для ответа.
Сверху