gormack napisa?/a:
W PHP-fusion podczas logowania tworzone jest cookie o nazwie fusion_user. Jest w nim zawarty id u?ytkownika oraz has?o zakodowane md5(bodaj?e) w formacie id_u?ytkownika.32_znaki_alfa-numeryczne_b?d?ce_has?em. Id u?ytkownika uzyska? mo?na bardzo ?atwo zagl?daj?c do listy userów i naje?dzaj?c na jeden z nich. Na pasku stanu poka?e si? nam: http://serwer/pro...?lookup=5. Has?o natomiast mo?na zdoby? poprze HTTP Generic Directory Traversal Attack. Od razu mówie ?e osobi?cie znam par? osób maj?cych php-fusion, które wyrzuci?y puste pliki index.php z wszystkich katalogów ( administration/db_backup te? si? nie uchowa?), a nie potrafi? u?ywa? .htaccess. I tu pojawia si? moje pytanie: Jak mo?na unikn?? takich kwiatków jak odpowiednia podmiana warto?ci w ciasteczkach i jestem na cudzym konci ? Ewentualnie jak mog? zmieni? sposób kodowania hase?ek ?

largo napisa?/a:
Witam,

Da si? Pieka, oj da si?. Ja mam takie co? z IPB, chocia? fakt, nie uda?o nam si? z?ama? has?a MD-5, ale próbujemy, a jest wa?ne, bo s?uzy do identyfikacji nr ID Klienta, nr ID Kopii

Widze, ze Ty jestes znawca!?
Brawo, to moze bedziesz od dzisiaj doradzal na ktoryms z for hakerskich?
Nie mam zamiaru nikomu ublizac, ale to nie jest Twoja liga, wiec daj sobie spokoj
Zlamac nie zlamiesz, a Tylko sie osmieszasz.
Fusion od ktorejs wersji jest zabezpieczony przed przejeciem cookie administratora.
To w razie gdybys nie wiedzial.
Przyklad IPB mnie nie interesuje, bo mowimy o Fusionie.

largo napisa?/a:
[quote]Widze, ze Ty jestes znawca!?
... ale jakie? dzia?ania przeciw piractwu trza zacz??, przynajmniej w Polsce.

Tu sie z Toba zgodze, ale mysle, ze nie tedy droga.
Jest wiele innych sposobow na walke z piractwem.