Tweet
Guten Tag alle zusammen
ich bin ganz neu hier und möchte euch gleich mit einer Frage begrüßen
- ich hoffe ich poste mein Problem im richtigen Forum
Ich bin momentan dabei ein eigenes Browsergame (RPG) zu programmieren (in PHP) und habe eine Sicherheitslücke gefunden, bei der ich keine Ahnung habe wie ich sie schließen kann.
Undzwar kann man sich einloggen (mit verschlüsseltem Passwort etc.), wobei die Daten aus der Datenbank abgefragt werden. Nun betritt man die Welt (Daten wie Spielername und heldenname werden in einem Formular als hidden übergeben). Da tritt mein Problem auf. Wenn man die Spielwelt nun betreten hat kann jeder PHP Anfänger sich ganz einfach als ein anderer Benutzer einloggen indem er hinter die URL "?player=<benutzername>&held=<beliebieger held>" schreibt. Da man im Quelltext die Hiddenforms auch sehen kann ist es also auch kein problem die variablenname rauszufinden.
Jetzt wollte ich wissen ob es einen Weg gibt entweder seine Hiddeneinträge irgendwie zu verschlüsseln sodas da z.b. steht "?player=025112023215401"
Da ich aber wie gesagt noch Anfänger bin hab ich keine Ahnung wie ich sowas mache
Auch eine andere Lösung würde ich natürlich schätzen, doch kenne ich bei weitem nicht alle möglichkeiten sowas zu machen.
Ich bedanke mich schonmal im Voraus und freue mich auf eine baldige Lösung
ich bin ganz neu hier und möchte euch gleich mit einer Frage begrüßen
- ich hoffe ich poste mein Problem im richtigen ForumIch bin momentan dabei ein eigenes Browsergame (RPG) zu programmieren (in PHP) und habe eine Sicherheitslücke gefunden, bei der ich keine Ahnung habe wie ich sie schließen kann.
Undzwar kann man sich einloggen (mit verschlüsseltem Passwort etc.), wobei die Daten aus der Datenbank abgefragt werden. Nun betritt man die Welt (Daten wie Spielername und heldenname werden in einem Formular als hidden übergeben). Da tritt mein Problem auf. Wenn man die Spielwelt nun betreten hat kann jeder PHP Anfänger sich ganz einfach als ein anderer Benutzer einloggen indem er hinter die URL "?player=<benutzername>&held=<beliebieger held>" schreibt. Da man im Quelltext die Hiddenforms auch sehen kann ist es also auch kein problem die variablenname rauszufinden.
Jetzt wollte ich wissen ob es einen Weg gibt entweder seine Hiddeneinträge irgendwie zu verschlüsseln sodas da z.b. steht "?player=025112023215401"
Da ich aber wie gesagt noch Anfänger bin hab ich keine Ahnung wie ich sowas mache
Auch eine andere Lösung würde ich natürlich schätzen, doch kenne ich bei weitem nicht alle möglichkeiten sowas zu machen.
Ich bedanke mich schonmal im Voraus und freue mich auf eine baldige Lösung
war aber anscheinend nicht sehr gründlich.
)
Kommentar