[How To] UCP auf Ini-Basis

In 10 Minuten startet der nächtliche Backupvorgang! Es kann währenddessen (ca. 10 Minuten) zu Einschränkungen bei der Nutzung des Forums kommen
Weitere Infos findet ihr im Thema Backup des Forums
  • Und Session-Hijacking ist das klauen von Sessions von anderen Benutzern - das geht nur, wenn die Webseite gehackt wurde ( z.B. durch eine XSS-Lücke ;) )


    Inkorrekt. Bei dem von dir gezeigten Code ist Session-Hijacking moeglich. Bei erfolgreichen Login sollte zumindest ein session_regenerate_id stehen.


    @.Steven.
    Hatte mir schon gedacht, dass du das auf ein und demselben Server ausprobiert hast. Aber schoen zu sehen, dass du dir nicht zu fein dafuer bist einen Fehler zuzugeben. Andere haetten einfach nichts mehr dazu gesagt, oder sogar versucht den anderen tod zu quatschen (weil "nur meine Meinung ist richtig"), ohne jemals auszuprobieren, ob der andere nicht vielleicht doch recht hat/man sich geirrt hat. Haette dieses Forum ein reputation-system wuerdest du dafuer +1 von mir bekommen. :thumbup:

  • Danke Sbika und danke Tion.


    Ja, einen Fehler zu zugeben ist selbsverständlich, schließlich möchte ich keine falschen Behauptungen preisgeben und dem Produkt damit schaden.


    Das Tion Ahnung von Sicherheit hat, weiß ich, schließlich verfolge ich aktiv seine Posts etc.


    Aufjedenfall coole Sache mit dem Tut, lasst euch von meinem Beitrag nicht aufhalten.


    Ich wünsche euch noch einen schönen Abend.

  • SBIKA, wo genau möchtest du fürs HiJacking ansetzen ? Alle Sessions durchraten ?


    dass der Angreifer dem Opfer einen Link zukommen laesst, bei dem die "PHPSESSID" gesetzt ist. Wenn der server nicht session_regenerate_id bei dem Login benutzt, dann ist es dem Angreifer moeglich die Session zu stehlen, da er die PHPSESSID kennt, welche die Login daten des Opfers nun hat (da sich dieser ueber den Link eingeloggt hat).


    Cookies muessen entweder geleert oder deaktiviert sein, denn der PHPSESSID im Cookie wird eine hoehere Prioritaet zugewiesen, als der mit HTTP-GET uebermittelten PHPSESSID. (Zumindest bei dem Apache Server - bin mir nicht sicher ob das eine eigenart vom Server oder von PHP ist.) Wenn das gewuenschte Opfer also niemals seine Cookies leert und der Server niemals die sessions (den session-cache) leert, oder nach einer bestimmten Zeit als ungueltig erklaert - dann hat der Taeter keine so grosse Angriffsflaeche, trotz unsicheren Systems. Man koennte sagen, dass das System dann so unsicher ist - dass es schon wieder sicher ist. ;)

  • Habe nun eine Verbindung zum FTP aufgebaut, bekomme nun bei der Zeile 33 ein ERROR



    Warning: ftp_get() [function.ftp-get]: Unable to build data connection: Connection timed out in C:\xampp\htdocs\index.php on line 33


    Der Loginist falsch !


    Die Zeile 33: ftp_get($ftp, 'cache/'. $_POST['username'] .'.ini.cache', $_POST['username'] .'.ini', FTP_ASCII);

  • Bitte :thumbup


    SFTP-Version:


    e: PHP geclosed 8)

  • do.de - Domain-Offensive - Domains für alle und zu super Preisen