Keresés

Részletes keresés

harzol Creative Commons License 2005.07.17 0 0 10

Na álljon meg a menet.

Elküldtem oda is, de mivel mások már jelezték, hogy csesznek tenni bármit is a prímpostások, így jobbnak láttam témát csinálni belőle.

 

Amúgy lehet védekezni. Pl. a kiléptetési időt célszerű sohá-ról elállítani.

Előzmény: ~ (7)
~ Creative Commons License 2005.07.17 0 0 9
ehhe-ehhem :))
Előzmény: bendegrúz (8)
bendegrúz Creative Commons License 2005.07.17 0 0 8
Egy nagy túróst! A topic címe van elszúrva. Így lenne kifejezőbb: "Apró ötletek kezdő hekkereknek"
Előzmény: ~ (7)
~ Creative Commons License 2005.07.17 0 0 7
hm. akkor viszont a primposta adminjanak kene elkuldeni az infot, nem publicra kitenni...
Előzmény: harzol (6)
harzol Creative Commons License 2005.07.17 0 0 6

Na ebben tévedsz.

 

Hiába lépsz ki, ettől még ugyanúgy be tudnak lépni hozzád.

 

Én az egészet amúgy úgy vettem észre, hogy egy több, mint 1 nappal korábbi látogatomnál megnéztem honnan jött, ugyanis nem volt ismerős a warrior.hu (szintén primposta).

 

Kipróbáltam a dolgot egy frissen regisztrált primpostás címmel. Beléptem, majd URL-t elmentettem, kiléptem, URL-t elküldtem ismerősnek, amivel ő lazán belépett.

Előzmény: ~ (5)
~ Creative Commons License 2005.07.17 0 0 5

feltehetoen azert nem mukodik, mert a beallitasoknal meg lehet adni, hogy mennyi ido alatt leptessen ki a rendszer. mellekesen kilepesnel - amit egy valamirevalo felhasznalo meg szokott tenni - torlodik ez a session id v. mifene.

Előzmény: harzol (4)
harzol Creative Commons License 2005.07.16 0 0 4

No most ez nem működik, feltehetően azért, mert valaki aki belépett az átállítgatott dolgokat (jelszó...), de alapból tényleg működik és ezzel pár 10.000 e-mail cím tulajdonos nagyon ki van szolgáltatva.

Előzmény: harzol (3)
harzol Creative Commons License 2005.07.16 0 0 3

Vicces kedvében van pár ember, mert megint nem lehet belépni, de adok egy újabb címet:

 

 

http://posta.prim.hu/session/b4693312492098f2f59dda2ce11e1bc4/mailbox.prm?mailbox=INBOX.%2B%2B201rkezett
Előzmény: harzol (2)
harzol Creative Commons License 2005.07.16 0 0 2
Előzmény: harzol (1)
harzol Creative Commons License 2005.07.16 0 0 1
Valaki vicces kedvében volt és megváltoztatta a jelszót. Azóta nem működik a link.
Előzmény: harzol (-)
Törölt nick Creative Commons License 2005.07.16 0 0 0
primp0sta
harzol Creative Commons License 2005.07.16 0 0 topiknyitó

Sziasztok!

Észrevettem egy érdekes hibát a primposta rendszerében.
Simán egy URL-el be lehet lépni a felhasználókhoz.

Pl: 

http://posta.prim.hu/session/d5963a2a2b5a66ff8cb9dc5b4500adc4/mailbox.prm?actionID=4242

 

Ilyen és ehhez hasonló címekhez pedig bármely forgalmasabb weboldal gazdája hozzájuthat, ugyanis ha egy primpostás e-mailre érkezett linkre rákattint valaki és a megnyíló oldalon jegyzik, hogy honnan érkezik a látogató, akkor már meg is van a cím. Ezen aztán simán be lehet lépni.
Ezt egyébként PHP-ben a $_server['http_referer'] változó tartalmazza.

A helyzetet súlyosbítja, hogy ha az illető kilépett a dolog még akkor is működik.

 

Ezt a hibát azért fedtem fel, hogy megóvjam a gyanútlan felhasználókat és elősegítsem a hiba elhárítását.

 

További jó levelezést mindenkinek!

 

Üdv,

Harzol

http://www.lottoszimulator.hu

Ha kedveled azért, ha nem azért nyomj egy lájkot a Fórumért!