PHP-Scripte für Passwortschutz mit Schwachstellen

Einklappen
X
 
  • Filter
  • Zeit
  • Anzeigen
Alles löschen
neue Beiträge

  • PHP-Scripte für Passwortschutz mit Schwachstellen

    Hi,

    ich mach mit einem Freund ein Referat (Computertechnik 12. Klasse) über Passwortgeschützte Seiten im Internet und ihre Schwachstellen. Was wir noch suchen sind Scripte für ein paar bugs z. B. wenn der benutzername länger als 15 zeichen ist, anfürungszeichen vergessen und dadurch eingabe von script möglich, etc. Wenn uns jemand weiter helfen könnte, weil wir echt nicht mehr weiter wissen. Ob Scripte oder Links wir sind für alles dankbar.
    Hier der Link zu dem was wir bisher haben: http://www.rr68.de/sql/

  • #2
    irgendwie versteh ich eure tipps nich
    error 404: Datei nicht gefunden!


    Das angegebene Dokument konnte auf diesem Server leider nicht gefunden werden.
    Ich denke, also bin ich. - Einige sind trotzdem...

    Kommentar


    • #3
      irgendwie verstehe ich den post hier nicht. das ist doch kein php-problem, oder?
      INFO: Erst suchen, dann posten![color=red] | [/color]MANUAL(s): PHP | MySQL | HTML/JS/CSS[color=red] | [/color]NICE: GNOME Do | TESTS: Gästebuch[color=red] | [/color]IM: Jabber.org |


      Kommentar


      • #4
        mein php-problem ist halt das ich nicht weiß wie man fehler rein machen kann, z. B. eine variable auf eine bestimmte Anzahl von Zeichen zu begrenzen und wenn mehr zeichen eingegeben werden, dass dann das php-script im browser angezeigt wird.

        Kommentar


        • #5
          wenn man fehler reinmacht, läuft das script aber nicht mehr ....

          strlen()
          http://de.php.net/manual/de/function.strlen.php
          INFO: Erst suchen, dann posten![color=red] | [/color]MANUAL(s): PHP | MySQL | HTML/JS/CSS[color=red] | [/color]NICE: GNOME Do | TESTS: Gästebuch[color=red] | [/color]IM: Jabber.org |


          Kommentar


          • #6
            sowas wie nen buffer overflow gibt's afaik in PHP nich falls du das meintest

            erfolg beim hacken von php-auth-skripten könntest du nur über zugriff auf php-generierte cookies (mit name/passwort komination im klartext haben) oder wenn der entwickler sonst irgendwas falsch gemacht hat, wie z.b. nen user test:test eingeführt und nicht wieder gelöscht oder so, aber das gibt''s überall und is nich php-spezifisch.

            außerdem denk ich eher nich, dass dir jemand von der funktion hack_page() erzählt
            Ich denke, also bin ich. - Einige sind trotzdem...

            Kommentar


            • #7
              wie kommt man dann zu so einem fehler? muss man sowas dann extra reinprogrammieren?


              Buffer Overflow Error line 8 ...
              if (empty($name) && empty($password)) $info;elseif (empty($name) || empty($password)) $info = "FILL OUT THE WHOLE FORM! ";elseif ($name != "Alice" || $password != "Wonderland") $info = "Name: 'fjkkjldsflkfsdklklkldfskllkkjlkjl' with Password: 'dklasdfklaslkklkldsfksdflaasdf' not a valid account.";


              Hat einer von euch eigentlich 1.htaccess geschafft?

              @mrhappiness 404 kommt weil die page noch nicht ganz fertig ist
              Zuletzt geändert von Timo R.; 07.01.2003, 01:36.

              Kommentar


              • #8
                http://www.kargcomputers.de/Scripts/hackertz_book.pdf

                Kommentar


                • #9
                  wir hatten hier mal eine thema, bezüglich einer Schwachstelle, mit der man unter linux die komplette maschine einsehen konnte... den post finde ich allerdings nicht mehr...

                  schreibt aber vielleicht mal eine mail an den user hier:
                  http://www.php-resource.de/forum/mem...fo&userid=1021

                  aber hier findet ihr vielleicht was:
                  http://www.oreilly.de/artikel/php_sicherheit.html

                  Kommentar


                  • #10
                    @hand
                    hab mit grad mal das kapitel mit der spasskasse durchgelesen. ist ja hochinteressant ...
                    INFO: Erst suchen, dann posten![color=red] | [/color]MANUAL(s): PHP | MySQL | HTML/JS/CSS[color=red] | [/color]NICE: GNOME Do | TESTS: Gästebuch[color=red] | [/color]IM: Jabber.org |


                    Kommentar


                    • #11
                      Ich denke dieses Kapitel zeigt ganz gut wie es gemacht werden kann, soferne eine Schwachstelle gefunden wird, die es zulässt beliebige Commands am Zielsystem auszuführen.

                      Kommentar

                      Lädt...
                      X