Автор Тема: cookie!  (Прочитано 9290 раз)

0 Пользователей и 1 Гость просматривают эту тему.

Оффлайн DigitalManiac

  • Заглянувший
  • Новичок
  • *
  • Сообщений: 3
  • +0/-0
  • 0
    • Просмотр профиля
    • http://magazine.half-life2.ru
cookie!
« : 03 Декабря 2002, 18:07:36 »
Подскажите, можно ли подделать cookie?
Я, например, могу легко украсть кукисы у любого человека, у которого они есть. Но можно ли, например, узнав пассворд какого-то юзера, создать свой кукис с этим паролем, и спокойно так войти под чужим именем куда-то?

Это мне нужно не для того, чтобы кого-то хакнуть или че-то такое. Просто у меня есть скрипт, в котором я не уверен на 100% так как не знаю точно, реально ли подделать кукисы? И зачем в каталоге с кукисами файл index.dat - что в нем содержится, какая инфа про куки?

Кстати, покажу скриптец:


if ($_COOKIE["cookie_username"] && $_COOKIE["cookie_password"])
{
dbconnect();
$result mysql_query("SELECT password FROM users WHERE username=\'$cookie_username\'");
	
if (
mysql_num_rows($result) > 0)
	
{
	
$row mysql_fetch_object($result);
	
	
if (
$row->password == $cookie_password)
	
	
{
	
	
$username $cookie_username;
	
	
$password $cookie_password;
	
	
	

	
	
session_register("username");
	
	
session_register("password");
	
	
}
	
}
}


dbconnect() - это моя собсная функция - коннектится к БД
А пароль в БД хранится зашифрованным. в кукисах тоже.
« Последнее редактирование: 03 Декабря 2002, 18:15:48 от DigitalManiac »

Оффлайн DigitalManiac

  • Заглянувший
  • Новичок
  • *
  • Сообщений: 3
  • +0/-0
  • 0
    • Просмотр профиля
    • http://magazine.half-life2.ru
cookie!
« Ответ #1 : 03 Декабря 2002, 18:18:38 »
И еще:
дело в том, что я сам пытался хакнуть этот скрипт, и сумел сделать это, просто передав методом get переменные cookie_user и cookie_password. Потом поменял в первом if эти переменные на _COOKIE[] переменные, чтобы быть точно уверенным что данные получаются из куков. А вот если куки подделать, тогда скрипт уже не поможет. помогите, плизз

Оффлайн Mog.

  • Фанат форума
  • Ветеран
  • *****
  • Сообщений: 828
  • +0/-0
  • 0
    • Просмотр профиля
cookie!
« Ответ #2 : 03 Декабря 2002, 18:27:35 »
Цитировать
Я, например, могу легко украсть кукисы у любого человека, у которого они есть.

Неслабое утверждение! У меня полно их кукисов энтих, ну-ка укради!
Все болезни от нервов, только сифилис от удовольствия

Оффлайн DigitalManiac

  • Заглянувший
  • Новичок
  • *
  • Сообщений: 3
  • +0/-0
  • 0
    • Просмотр профиля
    • http://magazine.half-life2.ru
cookie!
« Ответ #3 : 03 Декабря 2002, 19:33:29 »
серьезно, это займет время, которого у меня не так много.
если интересно, пиши на мыло digitalmaniac@half-life2.ru - расскажу как это делается ;)

Оффлайн Maniac

  • Ума нет - считай коллега
  • Глобальный модератор
  • Ветеран
  • *****
  • Сообщений: 844
  • +0/-0
  • 2
    • Просмотр профиля
    • http://
cookie!
« Ответ #4 : 03 Декабря 2002, 20:12:35 »
Цитировать
Но можно ли, например, узнав пассворд какого-то юзера, создать свой кукис с этим паролем, и спокойно так войти под чужим именем куда-то?

Знаешь, в частном случае - можно. Если программер хранит пароли в кукисе в открытом виде. Формат кукисов достаточно описан, чтобы иметь возможность сварганить свой файл.
Но если ты не знаешь функцию шифрования пароля - это тебе не поможет.
TANSTAAFL

Оффлайн Меняздесьдавнонет

  • новичЕк
  • Глобальный модератор
  • Ветеран
  • *****
  • Сообщений: 5698
  • +0/-0
  • 2
    • Просмотр профиля
    • http://
cookie!
« Ответ #5 : 03 Декабря 2002, 20:29:07 »
а теперь объясните мне, какое эта тема имеет отношение к РНР?

Оффлайн Tronyx

  • Модератор
  • Ветеран
  • *****
  • Сообщений: 826
  • +0/-0
  • 2
    • Просмотр профиля
cookie!
« Ответ #6 : 03 Декабря 2002, 20:49:17 »
Да откуда Вас "хакеров" тут столько набралось? Один авторизацию Апача на раз-два "обламывает", другой картинки хочет тырить и подделывать реферера, ты куки без проблем воруешь...
С уважением, Владимир Гончаренко - COPI# 93
Ролевая онлайн игра

Оффлайн DigitalManiac

  • Заглянувший
  • Новичок
  • *
  • Сообщений: 3
  • +0/-0
  • 0
    • Просмотр профиля
    • http://magazine.half-life2.ru
cookie!
« Ответ #7 : 03 Декабря 2002, 21:01:01 »
Цитировать
Знаешь, в частном случае - можно. Если программер хранит пароли в кукисе в открытом виде. Формат кукисов достаточно описан, чтобы иметь возможность сварганить свой файл.
Но если ты не знаешь функцию шифрования пароля - это тебе не поможет.


хе-хе. в том то и дело что зашифрованный пассворд (md5() rulezzz!) но все-же посмотри на приведенный выше скрипт - там ведь не требуется расшифрованный пароль.

я пробовал просто создать текстовый куки-файл, и записал все как надо - но броузер его не передал скрипту (там надо еще чето делать). Вот я и спрашиваю, можно ли вот это "еще че-то" сделать? Ведь хацкеров много - еще ломанут мой сайт :( :)

Цитировать
Да откуда Вас "хакеров" тут столько набралось? Один авторизацию Апача на раз-два "обламывает", другой картинки хочет тырить и подделывать реферера, ты куки без проблем воруешь...


ты намекаешь на то, что все это понты? =)

Оффлайн Maniac

  • Ума нет - считай коллега
  • Глобальный модератор
  • Ветеран
  • *****
  • Сообщений: 844
  • +0/-0
  • 2
    • Просмотр профиля
    • http://
cookie!
« Ответ #8 : 03 Декабря 2002, 21:05:49 »
Цитировать
хе-хе. в том то и дело что зашифрованный пассворд (md5() rulezzz!) но все-же посмотри на приведенный выше скрипт - там ведь не требуется расшифрованный пароль.

Я видел твой скрипт. Но для того, чтобы сделать фальшивую куки тебе нужен будет фальшивый зашифрованный пароль. А его ты получить не сможешь, если [читай предыдущий постинг]
TANSTAAFL

Оффлайн Меняздесьдавнонет

  • новичЕк
  • Глобальный модератор
  • Ветеран
  • *****
  • Сообщений: 5698
  • +0/-0
  • 2
    • Просмотр профиля
    • http://
cookie!
« Ответ #9 : 03 Декабря 2002, 21:07:38 »
Если ты настолько идиот, что пишешь куки логин и пассворд, то тебе здесь уже ничем не помогут.
Если ты хочешь поломать чужой сайт - то тебе тем более не помогут..

Оффлайн DigitalManiac

  • Заглянувший
  • Новичок
  • *
  • Сообщений: 3
  • +0/-0
  • 0
    • Просмотр профиля
    • http://magazine.half-life2.ru
cookie!
« Ответ #10 : 03 Декабря 2002, 21:34:24 »
Цитировать
Я видел твой скрипт. Но для того, чтобы сделать фальшивую куки тебе нужен будет фальшивый зашифрованный пароль. А его ты получить не сможешь, если [читай предыдущий постинг]

Я тебе еще раз говорю, что я храню в куках пароль в зашифрованном виде. и чтобы его получить, нужно только прочитать кукис!!!

Цитировать
Если ты настолько идиот, что пишешь куки логин и пассворд, то тебе здесь уже ничем не помогут.

ДА ПОЛОВИНА ФОРУМОВ И ОСТАЛЬНЫХ СКРИПТОВ ХРАНЯТ ЛОГИНЫ И ПАРОЛИ В КУКАХ!
Пример: BurningBoard
он хранит в куках логин и пароль, в зашифрованном виде md5()
у меня точно также.

Оффлайн DigitalManiac

  • Заглянувший
  • Новичок
  • *
  • Сообщений: 3
  • +0/-0
  • 0
    • Просмотр профиля
    • http://magazine.half-life2.ru
cookie!
« Ответ #11 : 03 Декабря 2002, 21:35:32 »
зы. только пароль в зашифр. виде, а не логин ;)

Оффлайн DigitalManiac

  • Заглянувший
  • Новичок
  • *
  • Сообщений: 3
  • +0/-0
  • 0
    • Просмотр профиля
    • http://magazine.half-life2.ru
cookie!
« Ответ #12 : 03 Декабря 2002, 21:37:07 »
Сорри за овер-постинг, но как этот форум хранит логин и пароль юзера?

Оффлайн Tronyx

  • Модератор
  • Ветеран
  • *****
  • Сообщений: 826
  • +0/-0
  • 2
    • Просмотр профиля
cookie!
« Ответ #13 : 03 Декабря 2002, 22:24:49 »
Цитировать
Ведь хацкеров много - еще ломанут мой сайт

Не хочешь чтобы ломанули - не храни нечего в куках, авторизируйся каждый раз заново.
С уважением, Владимир Гончаренко - COPI# 93
Ролевая онлайн игра

Оффлайн DigitalManiac

  • Заглянувший
  • Новичок
  • *
  • Сообщений: 3
  • +0/-0
  • 0
    • Просмотр профиля
    • http://magazine.half-life2.ru
cookie!
« Ответ #14 : 03 Декабря 2002, 22:36:57 »
я думал об этом.
но ведь многие юзеры это неодобрят.
Да, конечно я сделал чтобы каждый юзер мог указать, юзать или не юзать кукисы, но все же я и не хочу чтобы тех, кто использует куки, ломанули...

 

Sitemap 1 2 3 4 5 6 7 8 9 10 11 12 13 14 15 16 17 18 19 20 21 22 23 24 25 26 27 28