ต่อไป »

[x-script]

if ($_COOKIE['adminja']!="99"){
die("");
}

ถ้าเขียนแบบ นี้ถ้าไม่ใช่ cookie 99 จะสามารถเข้ามาได้ไหม

[AbuseMan]

เขียนแบบนี้แก้ Cookie ก็เข้าได้แล้วอ่ะดิ >,,<

[x-script]

ออถ้าแ ก้ cookie ในเครื่องตัวเองได้ด้วยใช่ปะครับ

[zankumuro]

ล็อคอินด้วย Username และ Password จากนั้นเก็บค่า session_id และ ip ลง Cookie กับตาราง session_login แล้วเอา cookie มาตรวจสอบกับค่าปัจจุบันและตาราง session_login ตลอดเวลาที่อยู่หน้าแอดมิน ถ้าผิดเพี้ยนไม่ตรงกับเด้งหลุดเลย

เออ...ยุ่งยากไปไหมอ่ะ เคยใช้แบบนี้หนนึง

[x-script]

ถ้าสมมุด เขาข้าม ผ่านมาแบบ ไม่มีcookie ใครเคยเจอมั่งไหมครับ

[freelancethai.org]

ใช้ cookie ก็ได้ครับ แต่ให้ cookie encrypt ไว้ ด้วย key ที่เราสร้างขึ้น

เวลาเช็คก็ค่อย decrypt ออกมาครับ

จะปลอดภัยจากการ edit cookie ครับ

ส่วนตัวผมชอบใช้ cookie มากกว่า session

[freelancethai.org]

ถ้าสมมุด เขาข้าม ผ่านมาแบบ ไม่มีcookie ใครเคยเจอมั่งไหมครับ

มันไม่มีทางเข้ามาได้ครับ
จาก code นั้น ถ้าไม่มี ตัวแปร cookie ที่ชื่อ adminja  และ = 99 ก็จะ ถูกตัดการเชื่อมต่ออยู่แล้ว

แต่ จาก code แค่นั้น จะโดนเจาะจากการสร้าง cookie ได้

[bonshington]

ไม่ยากนิ ใช้ fb login สิ ถ้า user id ที่ fb  ส่งกลับมา ตรงกับ admin ก็จบ
แถมไม่ต้องระวังเรื่องความปลอดภัยด้วย จะเปลี่ยน pwd มะไหร่ก็ได้ ไม่ม่ข้อมูลเก็บใน db
ถ้ากลัวไม่ปลอดภัย ก็ยิง https

ปล วิธีนี้เรียก open id หรือ oauth
ถ้าจะให้เป็นระบบมากกว่านั้นก็คือ สร้าง page ขึ้นมาลอยๆ 1 page แล้วเอา uid ที่ได้ ยิงไปถาม fb ว่าใช่ page admin รึเปล่า

[x-script]

ถ้าสมมุด เขาข้าม ผ่านมาแบบ ไม่มีcookie ใครเคยเจอมั่งไหมครับ

มันไม่มีทางเข้ามาได้ครับ
จาก code นั้น ถ้าไม่มี ตัวแปร cookie ที่ชื่อ adminja  และ = 99 ก็จะ ถูกตัดการเชื่อมต่ออยู่แล้ว

แต่ จาก code แค่นั้น จะโดนเจาะจากการสร้าง cookie ได้

จะสามารถสร้างเองได้ด้วยเหรอครับ จากเครื่อง client งะ

[freelancethai.org]

ไม่ยากนิ ใช้ fb login สิ ถ้า user id ที่ fb  ส่งกลับมา ตรงกับ admin ก็จบ
แถมไม่ต้องระวังเรื่องความปลอดภัยด้วย จะเปลี่ยน pwd มะไหร่ก็ได้ ไม่ม่ข้อมูลเก็บใน db
ถ้ากลัวไม่ปลอดภัย ก็ยิง https

ปล วิธีนี้เรียก open id หรือ oauth
ถ้าจะให้เป็นระบบมากกว่านั้นก็คือ สร้าง page ขึ้นมาลอยๆ 1 page แล้วเอา uid ที่ได้ ยิงไปถาม fb ว่าใช่ page admin รึเปล่า

ท่านนี่โปรจริงๆ "ไม่ยากด้วย"   

[freelancethai.org]

ถ้าสมมุด เขาข้าม ผ่านมาแบบ ไม่มีcookie ใครเคยเจอมั่งไหมครับ

มันไม่มีทางเข้ามาได้ครับ
จาก code นั้น ถ้าไม่มี ตัวแปร cookie ที่ชื่อ adminja  และ = 99 ก็จะ ถูกตัดการเชื่อมต่ออยู่แล้ว

แต่ จาก code แค่นั้น จะโดนเจาะจากการสร้าง cookie ได้

จะสามารถสร้างเองได้ด้วยเหรอครับ จากเครื่อง client งะ

ได้ครับ

[p44n]

ใครที่ว่าได้ ผมมีให้ลอง เอามั๊ยครับ ผมจะบอกชื่อ ตัวแปรด้วย

[x-script]

ถ้าสมมุด เขาข้าม ผ่านมาแบบ ไม่มีcookie ใครเคยเจอมั่งไหมครับ

มันไม่มีทางเข้ามาได้ครับ
จาก code นั้น ถ้าไม่มี ตัวแปร cookie ที่ชื่อ adminja  และ = 99 ก็จะ ถูกตัดการเชื่อมต่ออยู่แล้ว

แต่ จาก code แค่นั้น จะโดนเจาะจากการสร้าง cookie ได้

จะสามารถสร้างเองได้ด้วยเหรอครับ จากเครื่อง client งะ

ได้ครับ

ต้องทำยังไงงะ ผมหัวหมุน แล้ว *-*

[freelancethai.org]

ผมก็ยังยืนยันว่าได้

บางคนที่ตัวเองทำไม่ได้ ก้อาจจะคิดว่าเอาตัวเองเป็นศูนย์กลางแล้วก็ตัดสินว่ามันไม่ได้
ถ้าจะคุยเรื่องพวกนี้ ไป citec.us ดีกว่า น่าจะชัดเจน

แล้วจะให้ไป pentest ฟรีๆ ใครจะทำ ... (ให้ผมซัก 1000  ก็พอ ผมจะไป ลองของให้เลยครับ cookie ที่ไม่มีการเข้ารหัส เนี่ย ยังไงมันก็สร้างได้) 

เรื่องการป้องกัน มี 2 ทางเลือกใหญ่ๆ
1.ใช้ session แทน
2. ตอนสร้างก็ encrypt cookie เวลาใช้ก็ decrypt ออกมา

[p44n]

ผมไม่ปฏิเสธการ Hack  ของ Hacker แต่ผม ปฏิเสธการ Hack จาก User ที่ยังต้องเดา Cookie

[darksammer]

ใช้การ Encrypt เอาไว้ก็ดีครับ แต่ถ้าไม่อยากวุ่นวายก็ใช้ OpenID ต่อกับ Facebook Gmail Hotmail Twitter ก็ง่ายดีเหมือนกันครับ