อยากสอบถามระบบความปลอดภัยแอดมินของ php

x-script

if ($_COOKIE['adminja']!="99"){
die("");
}

ถ้าเขียนแบบ นี้ถ้าไม่ใช่ cookie 99 จะสามารถเข้ามาได้ไหม

AbuseMan

เขียนแบบนี้แก้ Cookie ก็เข้าได้แล้วอ่ะดิ >,,<

x-script

ออถ้าแ ก้ cookie ในเครื่องตัวเองได้ด้วยใช่ปะครับ

zankumuro

ล็อคอินด้วย Username และ Password จากนั้นเก็บค่า session_id และ ip ลง Cookie กับตาราง session_login แล้วเอา cookie มาตรวจสอบกับค่าปัจจุบันและตาราง session_login ตลอดเวลาที่อยู่หน้าแอดมิน ถ้าผิดเพี้ยนไม่ตรงกับเด้งหลุดเลย

เออ...ยุ่งยากไปไหมอ่ะ เคยใช้แบบนี้หนนึง

x-script

ถ้าสมมุด เขาข้าม ผ่านมาแบบ ไม่มีcookie ใครเคยเจอมั่งไหมครับ

freelancethai.org

ใช้ cookie ก็ได้ครับ แต่ให้ cookie encrypt ไว้ ด้วย key ที่เราสร้างขึ้น

เวลาเช็คก็ค่อย decrypt ออกมาครับ

จะปลอดภัยจากการ edit cookie ครับ

ส่วนตัวผมชอบใช้ cookie มากกว่า session

freelancethai.org

อ้างถึงจาก: x-script ใน 19 พฤศจิกายน 2011, 20:13:25
ถ้าสมมุด เขาข้าม ผ่านมาแบบ ไม่มีcookie ใครเคยเจอมั่งไหมครับ

มันไม่มีทางเข้ามาได้ครับ
จาก code นั้น ถ้าไม่มี ตัวแปร cookie ที่ชื่อ adminja และ = 99 ก็จะ ถูกตัดการเชื่อมต่ออยู่แล้ว

แต่ จาก code แค่นั้น จะโดนเจาะจากการสร้าง cookie ได้

bonshington

ไม่ยากนิ ใช้ fb login สิ ถ้า user id ที่ fb ส่งกลับมา ตรงกับ admin ก็จบ
แถมไม่ต้องระวังเรื่องความปลอดภัยด้วย จะเปลี่ยน pwd มะไหร่ก็ได้ ไม่ม่ข้อมูลเก็บใน db
ถ้ากลัวไม่ปลอดภัย ก็ยิง https

ปล วิธีนี้เรียก open id หรือ oauth
ถ้าจะให้เป็นระบบมากกว่านั้นก็คือ สร้าง page ขึ้นมาลอยๆ 1 page แล้วเอา uid ที่ได้ ยิงไปถาม fb ว่าใช่ page admin รึเปล่า

x-script

อ้างถึงจาก: freelancethai.org ใน 19 พฤศจิกายน 2011, 20:15:52
อ้างถึงจาก: x-script ใน 19 พฤศจิกายน 2011, 20:13:25
ถ้าสมมุด เขาข้าม ผ่านมาแบบ ไม่มีcookie ใครเคยเจอมั่งไหมครับ

มันไม่มีทางเข้ามาได้ครับ
จาก code นั้น ถ้าไม่มี ตัวแปร cookie ที่ชื่อ adminja และ = 99 ก็จะ ถูกตัดการเชื่อมต่ออยู่แล้ว

แต่ จาก code แค่นั้น จะโดนเจาะจากการสร้าง cookie ได้

จะสามารถสร้างเองได้ด้วยเหรอครับ จากเครื่อง client งะ

freelancethai.org

อ้างถึงจาก: bonshington ใน 19 พฤศจิกายน 2011, 20:17:15
ไม่ยากนิ ใช้ fb login สิ ถ้า user id ที่ fb ส่งกลับมา ตรงกับ admin ก็จบ
แถมไม่ต้องระวังเรื่องความปลอดภัยด้วย จะเปลี่ยน pwd มะไหร่ก็ได้ ไม่ม่ข้อมูลเก็บใน db
ถ้ากลัวไม่ปลอดภัย ก็ยิง https

ปล วิธีนี้เรียก open id หรือ oauth
ถ้าจะให้เป็นระบบมากกว่านั้นก็คือ สร้าง page ขึ้นมาลอยๆ 1 page แล้วเอา uid ที่ได้ ยิงไปถาม fb ว่าใช่ page admin รึเปล่า

ท่านนี่โปรจริงๆ "ไม่ยากด้วย"

freelancethai.org

อ้างถึงจาก: x-script ใน 19 พฤศจิกายน 2011, 20:22:09
อ้างถึงจาก: freelancethai.org ใน 19 พฤศจิกายน 2011, 20:15:52
อ้างถึงจาก: x-script ใน 19 พฤศจิกายน 2011, 20:13:25
ถ้าสมมุด เขาข้าม ผ่านมาแบบ ไม่มีcookie ใครเคยเจอมั่งไหมครับ

มันไม่มีทางเข้ามาได้ครับ
จาก code นั้น ถ้าไม่มี ตัวแปร cookie ที่ชื่อ adminja และ = 99 ก็จะ ถูกตัดการเชื่อมต่ออยู่แล้ว

แต่ จาก code แค่นั้น จะโดนเจาะจากการสร้าง cookie ได้

จะสามารถสร้างเองได้ด้วยเหรอครับ จากเครื่อง client งะ

ได้ครับ

p44n

ใครที่ว่าได้ ผมมีให้ลอง เอามั๊ยครับ ผมจะบอกชื่อ ตัวแปรด้วย

x-script

อ้างถึงจาก: freelancethai.org ใน 19 พฤศจิกายน 2011, 20:23:22
อ้างถึงจาก: x-script ใน 19 พฤศจิกายน 2011, 20:22:09
อ้างถึงจาก: freelancethai.org ใน 19 พฤศจิกายน 2011, 20:15:52
อ้างถึงจาก: x-script ใน 19 พฤศจิกายน 2011, 20:13:25
ถ้าสมมุด เขาข้าม ผ่านมาแบบ ไม่มีcookie ใครเคยเจอมั่งไหมครับ

มันไม่มีทางเข้ามาได้ครับ
จาก code นั้น ถ้าไม่มี ตัวแปร cookie ที่ชื่อ adminja และ = 99 ก็จะ ถูกตัดการเชื่อมต่ออยู่แล้ว

แต่ จาก code แค่นั้น จะโดนเจาะจากการสร้าง cookie ได้

จะสามารถสร้างเองได้ด้วยเหรอครับ จากเครื่อง client งะ

ได้ครับ

ต้องทำยังไงงะ ผมหัวหมุน แล้ว *-*

freelancethai.org

ผมก็ยังยืนยันว่าได้

บางคนที่ตัวเองทำไม่ได้ ก้อาจจะคิดว่าเอาตัวเองเป็นศูนย์กลางแล้วก็ตัดสินว่ามันไม่ได้
ถ้าจะคุยเรื่องพวกนี้ ไป citec.us ดีกว่า น่าจะชัดเจน

แล้วจะให้ไป pentest ฟรีๆ ใครจะทำ ... (ให้ผมซัก 1000 ก็พอ ผมจะไป ลองของให้เลยครับ cookie ที่ไม่มีการเข้ารหัส เนี่ย ยังไงมันก็สร้างได้)

เรื่องการป้องกัน มี 2 ทางเลือกใหญ่ๆ
1.ใช้ session แทน
2. ตอนสร้างก็ encrypt cookie เวลาใช้ก็ decrypt ออกมา

p44n

ผมไม่ปฏิเสธการ Hack ของ Hacker แต่ผม ปฏิเสธการ Hack จาก User ที่ยังต้องเดา Cookie

darksammer

ใช้การ Encrypt เอาไว้ก็ดีครับ แต่ถ้าไม่อยากวุ่นวายก็ใช้ OpenID ต่อกับ Facebook Gmail Hotmail Twitter ก็ง่ายดีเหมือนกันครับ