cookie!

Разное > Флейм

cookie!

(1/6) > >>

DigitalManiac:
Подскажите, можно ли подделать cookie?
Я, например, могу легко украсть кукисы у любого человека, у которого они есть. Но можно ли, например, узнав пассворд какого-то юзера, создать свой кукис с этим паролем, и спокойно так войти под чужим именем куда-то?

Это мне нужно не для того, чтобы кого-то хакнуть или че-то такое. Просто у меня есть скрипт, в котором я не уверен на 100% так как не знаю точно, реально ли подделать кукисы? И зачем в каталоге с кукисами файл index.dat - что в нем содержится, какая инфа про куки?

Кстати, покажу скриптец:

if ($_COOKIE["cookie_username"] && $_COOKIE["cookie_password"])
{
dbconnect();
$result = mysql_query("SELECT password FROM users WHERE username=\'$cookie_username\'");
if (mysql_num_rows($result) > 0)
{
$row = mysql_fetch_object($result);
if ($row->password == $cookie_password)
{
$username = $cookie_username;
$password = $cookie_password;

session_register("username");
session_register("password");
}
}
}

dbconnect() - это моя собсная функция - коннектится к БД
А пароль в БД хранится зашифрованным. в кукисах тоже.

DigitalManiac:
И еще:
дело в том, что я сам пытался хакнуть этот скрипт, и сумел сделать это, просто передав методом get переменные cookie_user и cookie_password. Потом поменял в первом if эти переменные на _COOKIE[] переменные, чтобы быть точно уверенным что данные получаются из куков. А вот если куки подделать, тогда скрипт уже не поможет. помогите, плизз

Mog.:

--- Цитировать ---Я, например, могу легко украсть кукисы у любого человека, у которого они есть.
--- Конец цитаты ---

Неслабое утверждение! У меня полно их кукисов энтих, ну-ка укради!

DigitalManiac:
серьезно, это займет время, которого у меня не так много.
если интересно, пиши на мыло digitalmaniac@half-life2.ru - расскажу как это делается ;)

Maniac:

--- Цитировать ---Но можно ли, например, узнав пассворд какого-то юзера, создать свой кукис с этим паролем, и спокойно так войти под чужим именем куда-то?
--- Конец цитаты ---

Знаешь, в частном случае - можно. Если программер хранит пароли в кукисе в открытом виде. Формат кукисов достаточно описан, чтобы иметь возможность сварганить свой файл.
Но если ты не знаешь функцию шифрования пароля - это тебе не поможет.

Навигация

[0] Главная страница сообщений

[#] Следующая страница

Sitemap 1 2 3 4 5 6 7 8 9 10 11 12 13 14 15 16 17 18 19 20 21 22 23 24 25 26 27 28

Перейти к полной версии