Хостинг серверов Minecraft playvds.com
  1. Этот сайт использует файлы cookie. Продолжая пользоваться данным сайтом, Вы соглашаетесь на использование нами Ваших файлов cookie. Узнать больше.
  2. Вы находитесь в русском сообществе Bukkit. Мы - администраторы серверов Minecraft, разрабатываем собственные плагины и переводим на русский язык плагины наших собратьев из других стран.
    Скрыть объявление
  3. Данный раздел создан исключительно для релизов! Вопросы по лаунчеру или обвязке задавайте ТОЛЬКО в соответсвующей теме автора. Любые другие темы будут удалены, а авторы понесут наказание.

Совет Уязвимость системы авторизации

Тема в разделе "Веб-обвязки и лаунчеры", создана пользователем hyndo, 10 фев 2014.

  1. Xssnick

    Xssnick Старожил Пользователь

    Баллы:
    103
    генерить рандомную сессию при регистрации - самый простой способ
     
    Vas777ya и blogger2 нравится это.
  2. Хостинг MineCraft
    <
  3. AlexMerser

    AlexMerser Старожил Пользователь

    Баллы:
    173
    Патч для каждого движка?
     
  4. blogger2

    blogger2 Старожил Пользователь

    Баллы:
    123
    Skype:
    ilja0176
    Имя в Minecraft:
    XuPoH
    PHP:
    <?
    function 
    crypt_session($l,$p,$s){
    /*
    @string login
    @string password,
    @string salt
    */
    return strtoupper(md5($l.$p.$s.rand(1,10000)));
    }
    ?>
     
    Последнее редактирование: 13 фев 2014
    ПриветОтЛайки нравится это.
  5. AlexMerser

    AlexMerser Старожил Пользователь

    Баллы:
    173
    и синтаксическая ошибка....
     
  6. blogger2

    blogger2 Старожил Пользователь

    Баллы:
    123
    Skype:
    ilja0176
    Имя в Minecraft:
    XuPoH
    исправил ;)
     
  7. Kachalov

    Kachalov Старожил Пользователь

    Баллы:
    103
    Skype:
    alex-kachalov-01
    Имя в Minecraft:
    Kachalov
    Что вы придумываете? Вы хоть регулярки писать умеете, чтобы говорить, что она не работает?("/^[a-zA-Z0-9_-]+$/")
    Эта регулярка озночает, что должно быть не менее одного символа(!) в диапозоне от a до z разного регистра, от нуля до девяти, _ и -, хотя, если я не ошибаюсь, в сессии _ и - не используются. Если у вас кривые руки и вы не можете нормально либы поставить, то это ваши проблемы.
     
    Hephest, Reality_SC и blogger2 нравится это.
  8. Alisher-98

    Alisher-98 Старожил Пользователь

    Баллы:
    103
    Skype:
    alisher-982
    Имя в Minecraft:
    Alisher98
    Можно поподробнее?я нуб в этом деле:D
     
  9. General

    General Старожил Пользователь

    Баллы:
    123
    Люди, вы чего? Совсем не знаете синтаксиса SQL и, как работает Mysql?
    Вот делаем это в бд
    Код:
    ALTER TABLE  `таблица пользователей`
    DROP session
    ADD  `session` varchar(255) DEFAULT 'рандомное число'
    Где таблица пользователей меняем на свою.
    Где рандомное число меняем на своё левое, число или ещё лучше заюзайте генератор паролей и пихните туда рандомный пароль из 15 символов. С шансом 99% никто не будет перебирать пароль из 15 символом.

    Session колонка с сессией, лучше можно изменить на свою. Так как я не знаю, какая у вас колонка с сессиями(Кэп)

    Где рандомное число будет выставляться вместо 0, что-то другое. Такие вот дела. И не надо утруждать себя изобретением костылей и велосипедов.

    А теперь представьте, что лучше фиксить каждую регу у нужной вам CMS, или оставить это дело mysql, который каждый раз будет создавать запись, где будет рандомное число, которое вы записали.
     
    Последнее редактирование: 17 фев 2014
  10. Reality_SC

    Reality_SC Старожил Пользователь

    Баллы:
    123
    Имя в Minecraft:
    Reality_SC
    или
    Код:
    ... DEFAULT MD5(RAND() + NOW());
     
  11. Alisher-98

    Alisher-98 Старожил Пользователь

    Баллы:
    103
    Skype:
    alisher-982
    Имя в Minecraft:
    Alisher98
    Можно поподробнее?я нуб в этом деле:D
     
  12. Evan

    Evan Старожил Пользователь

    Баллы:
    123
    сделай лучше как выше было написано, где что то указано по дефолту
     
  13. General

    General Старожил Пользователь

    Баллы:
    123
    Зачем делать велосипед из костылей, когда уже существует нормальный велосипед. И этот велосипед одна из немаловажных функций MySQL
     
  14. blogger2

    blogger2 Старожил Пользователь

    Баллы:
    123
    Skype:
    ilja0176
    Имя в Minecraft:
    XuPoH
    mysql_escape_string? pdo? MySQLi?
    [​IMG]
     
  15. General

    General Старожил Пользователь

    Баллы:
    123
    Мне лень объяснять, чем мой метод проще вашего. И мне вообще лень обращать внимание на ваше выкрутасы.
     
  16. blogger2

    blogger2 Старожил Пользователь

    Баллы:
    123
    Skype:
    ilja0176
    Имя в Minecraft:
    XuPoH
    где же ваш метод? лол
    вы только сказали, что он существует в наборе функций mysql.
    то есть, функция MySQL == ваш метод? ляп.
    и насчет "ваше выкрутасы".
    уязвимость авторизации это не кроет.
    я лишь написал жалкие попытки разработчиков php или же mysql убрать инъекцию/защититься от батников с читерскими клиентами.
     
  17. Alisher-98

    Alisher-98 Старожил Пользователь

    Баллы:
    103
    Skype:
    alisher-982
    Имя в Minecraft:
    Alisher98
    Ты заметил Слова после вопроса?
     
    blogger2 нравится это.
  18. General

    General Старожил Пользователь

    Баллы:
    123
    Всё стёрлось, а писать заново и объяснять мне лень. Не нравиться мой метод используйте другой, я же не обсираю вас, а вы обсираете, тем более, кто вы такие, чтоб общаться со мной на ты, вы просто встречные на бесконечных просторах интернета, а пишите так, как будто знаете меня сотни лет. Мне лень отвечать, поэтому на все дальнейшие вопросы, ответы и т.д я отвечать не буду, так как для меня это не имеет значение. Под методом я имел ввиду не метод, как в языках программирования, а подразумевал слово "способ". А вы по своей ошибке неправильно понял начали меня уже обсирать, унижать, выставлять существом, которое хоть и предложило самый простой способ, но всё равно это хуже. Как я сказал выше дальнейшие ваши ответы для меня не несут смысла, так как вряд ли вы предложите сотрудничество, или что-то, что принесло выгоду нам обоим.(Ничего личного)
     
  19. blogger2

    blogger2 Старожил Пользователь

    Баллы:
    123
    Skype:
    ilja0176
    Имя в Minecraft:
    XuPoH
    а вы собственно, java кодер?
    или кто?
    быть может, найдем выгоду.
     

Поделиться этой страницей