• Naslovna
• FAQ
• Pravilnik
• O ES-u
• Tim
• Korisnici
• Statistike

 

• elitesecurity ::
• elitemadzone ::
• EMAIL ::
• RSS ::
• ES Mobile

  Niste ulogovani?  Username :   Password:   

• Registracija
• Zaboravili ste password?
• Flashback ▲▼
• Login problem?

 

Pretraga:

 

Srodne teme 14.04.2024. Re: Gde je Kejt? (samo pogrešni odgovori) 12.02.2002. Back() pod sesijama 27.06.2002. phpinfo - potrebna pomoc 01.08.2006. Korisno za sve!!! - da li znate sta je KaZaA 05.01.2003. Ubacivanje slika 09.10.2003. Problem sa nagiosom 15.06.2004. Pomagajte ako boga znate !!! Navigacija Brisanje liste Aktuelne teme u ovom forumu: Problem sa translate.google.com/transl.. Centralizovana autorizacija korisnika SOAP WEB servisi Agencije za privredne.. konfiguracija limesurvey za slanje poz.. Problem oko jednostavnog query baze Problem sa učitavanjem slika i videa .. restrikcija pristupa samo na index.htm.. Count _POST prilikom prihvatanja submi.. Hitna pomoc ne radi mi veza php - mzsq.. Automatizovani web servis Kreiranje MIDI iz PHP preg_replace - ne uspevam multi line :( Skripta za zakazivanje termina u PHP Problem sa multi replace Problem Upload Image ! Izaberite forum: Linux Linux aplikacije Linux desktop okruženja Linux hardware Windows desktop Windows aplikacije Zaštita Office Windows drajveri Office :: Word Office :: Excel Macintosh Mac hardware Mac software Iphone Enterprise Networking SOHO Networking Wireless Windows mreže Linux mreže Wireless :: WiMax Wireless :: Mikrotik Wireless :: Wireless oprema Linux/UNIX serveri i servisi Unix BSD Skript jezici Security Virtualizacija Cloud Computing Services Security :: Kriptografija i enkripcija .NET 3D programiranje Art of Programming Asembler C/C++ programiranje Kernel i OS programiranje Pascal / Delphi / Kylix Java Embedded sistemi Perl PHP Python Visual Basic 6 Veštačka inteligencija Security Coding XML GameDev - Razvoj Igara Ostali programski jezici PHP :: PHP za početnike PHP :: Smarty template engine .NET :: .NET Desktop razvoj .NET :: ASP.NET .NET :: WPF Programiranje C/C++ programiranje :: C/C++ za početnike Baze podataka MySQL Oracle Access MS SQL Firebird/Interbase PostgreSQL Fiksna telefonija VoIP Udruženje korisnika teleko.. GSM - telefoni GSM - upotreba GSM - servisiranje Mreže i novosti Smartphone Mreže i novosti :: Mobilni internet Mreže i novosti :: Telenor - korisnički servis Mreže i novosti :: VIP - korisnički servis Mreže i novosti :: MTS - korisnički servis Smartphone :: Symbian OS Smartphone :: Windows Mobile Smartphone :: Android GSM - telefoni :: Nokia PDA Uređaji GPS Portable Players Anonimnost i privatnost ISP Browseri E-mail Instant Messaging FTP Google Hosting ISP :: Wireless mreže i ISP ISP :: ADSL E-mail :: Anti-spam Instant Messaging :: IRC Hosting :: Domeni Google :: Gmail E-Marketing Web aplikacije Web dizajn i CSS Web dizajn softver Web razvoj Pretraživači i SEO Flash Javascript i AJAX Web dizajn i CSS :: Kritike Grafički dizajn Izdavaštvo 3D modelovanje Rasterska grafika Vektorska grafika 3D modelovanje :: CAD/CAM Matične ploče, procesori .. Video karte i monitori Storage Ostali hardver Overclocking & Modding PC Konfiguracije Laptopovi Vodič za kupovinu - PC har.. Tablet PC Muzička produkcija Audio kompresija Audio softver Video produkcija Video kompresija Video softver Multimedijalni uređaji Digitalni fotoaparati Digitalne kamere Home Theater Digitalni fotoaparati :: Fotografija Digitalni fotoaparati :: Vodič za kupovinu - Digita.. Elektronika Elektrotehnika Elektronika :: TV uređaji Elektronika :: Radio elektronika i tehnika Elektronika :: Mikrokontroleri Elektronika :: Audio-elektronika Auto-elektronika :: Tuning Vodič za učenje Vodič za posao Vodič za emigraciju Fizika Matematika Nauka Sertifikati Informatika Vodič za učenje :: Seminarski radovi Vodič za učenje :: Obrazovne institucije Vodič za emigraciju :: Život u USA Vodič za emigraciju :: Život u Norveškoj Vodič za emigraciju :: Život u Nemačkoj E-Poslovanje E-Kupovina IT pravo i politika razvoja IT događaji IT berza poslova IS i ERP Ekonomija Berza Cryptocoins IT berza poslova :: Arhiva IT berze poslova IT pravo i politika razvoja :: Registar Nacionalnog ID E-Poslovanje :: E-Transakcije E-Poslovanje :: Forex E-Kupovina :: Platne kartice Digitalna Televizija Advocacy Ankete Predlozi i pitanja Vesti Čekaonica Vesti :: ES leto manifestacija MadZone TechZone Poljoprivreda AutoZone MotoZone Svakodnevnica Video igre MadZone :: Zanimljivi linkovi MadZone :: Kultura TechZone :: Ergonomija TechZone :: Grejanje TechZone :: Klimatizacija TechZone :: Bela tehnika AutoZone :: Fiat Panda club Lista poslednjih: 16, 32, 64, 128 poruka.

goran33 Goran Milic Beograd Član broj: 6040 Poruke: 46 *.bitsyu.net ICQ: 170738591 Profil sesije i cookiji u kombinaciji, problem sa vremenom 18.11.2002. u 16:44 - pre 260 meseci Imam stranu index.php sa session_start() i sa formom u koju se unosi logname i pwd. Varijable se šalju na fajl pass.php (ACTION="pass.php?<?=SID?>" METHOD=POST). U pass.php se proverava da li je forma prazna,ok ili pogrešno popunjena. Ako je prazna, prebacuje se na index.php i generiše grešku 1, ako je ok ide na stranu admin i pravi cookie koji "traje" 10 minuta, a ako su podaci pogrešni, vraća na index i generiše grešku 2... Code: ovo je pass.php <?  session_start(); $connection = mysql_connect("localhost", "a", "b");  $db = mysql_select_db("a", $connection); if ($logname=='' or $pwd==''){   Header("Location: index.php");          $error = 1;          session_register("error");        exit();   }   if (@$logname && @$pwd) {       $res = @mysql_query("SELECT logname,pwd FROM root WHERE logname='$logname' AND pwd='$pwd'");       if(@mysql_num_rows($res) != 0) {           Header("Location: admin.php");           session_register("logname");           session_register("pwd");        setcookie("time",$PHPSESSID,time()+1200,"/");           }   else {    Header("Location: index.php");           $error = 2;           session_register("error");          exit();  }       }   ?> Na svim "zaštićenim" stranama prvi red je <? include ("check.php");?>, i u slučaju da prođe 10 minuta, generiše se greška 3 i vraća se na index.php... Code: ovo je check.php <?   session_start();   $connection = mysql_connect("localhost", "a", "b");  $db = mysql_select_db("a", $connection);   $res = @mysql_query("SELECT logname FROM root WHERE logname='$logname' AND pwd='$pwd'");        if(@mysql_num_rows($res) == 0) {        Header("Location: index.php");           $error = 2;           session_register("error");         exit();          }   $time=$HTTP_COOKIE_VARS["time"];   $vreme=strlen($time);        if($vreme<1) {        Header("Location: index.php");           $error = 3;           session_register("error");         exit();           }   setcookie("time",$PHPSESSID,time()+1200,"/");   ?> Problem je u tome sto mi ovo kod kuće na lokalu radi super, a na netu mi stalno vraća 3, tj. sesija je istekla... Šta mi predlažete da uradim? Može li da se odredi dužina trajanja sesije bez upotrebe kukija,tj. Mogu li sve to isto da uradim bez njih? Ovo je izvod iz php configa vezan za sesije, inace verzija je 4.1.2 i register_globals je On, ako to ima neke veze... Directive - Local Value - Master Value session.auto_start - On - On session.cache_expire - 180 - 180 session.cache_limiter - nocache - nocache session.cookie_domain - no value - no value session.cookie_lifetime - 0 - 0 session.cookie_path- / - / session.cookie_secure - Off - Off session.entropy_file - no value - no value session.entropy_length - 0 - 0 session.gc_maxlifetime - 1440 - 1440 session.gc_probability - 1 - 1 session.name - PHPSESSID - PHPSESSID session.referer_check - no value - no value session.save_handler - files - files session.save_path - /tmp - /tmp session.serialize_handler - php - php session.use_cookies - On - On Hvala unapred... . . . [Ovu poruku je menjao Go! X dana 23.11.2002. u 00:55 GMT] Odgovor na temu

goran33 Goran Milic Beograd Član broj: 6040 Poruke: 46 *.bitsyu.net ICQ: 170738591 Profil Re: Za Vas koji znate o sesijama... 18.11.2002. u 20:15 - pre 260 meseci P.S. Pogledao sam sve poruke na forumu vezane za sesije, ali i dalje ne znam da li je ovo dobro i zasto ne radi... Odgovor na temu

mikis Mihailo Stefanović Beograd Član broj: 1825 Poruke: 767 *.verat.net Sajt: www.mikis.org Profil Re: Za Vas koji znate o sesijama... 18.11.2002. u 21:00 - pre 260 meseci Bez dublje analize (mnogo mi se spava :) ) evo jedne pretpostavke: možda ti se vreme na lokalnoj mašini i vreme na serveru razlikuju? Npr. vreme na serveru je u drugoj vremenskoj zoni pa ti kad uporediš dobiješ npr. da je sesija istekla pre sat vremena? Način da to rešiš bez upotrebe kukija je korišćenjem <meta http-equiv=Refresh content="600;url=index.php"> Na još nešto bih ti skrenuo pažnju: imaš ogromnu potencijalnu sigurnosnu rupu u kodu, pomoću koje je veoma lako da neko postane admin tvog servera. U delu gde proveravaš postoji li user i pass u bazi: SELECT logname,pwd FROM root WHERE logname='$logname' AND pwd='$pwd' Recimo da ja kao logname unesem: admin' -- a kao pass bilo šta. Izvršiće se upit: SELECT logname,pwd FROM root WHERE logname='admin' -- AND pwd='bilosta'; Pošto je sve iza -- u SQL naredbi komentar, mene će praktično ulogovati kao admina i bez passworda! Rešenje je da pre ovog Select upita staviš: $logname = addslashes($logname); $pwd = addslashes($pwd); Možda si to već i uradio u prethodnom delu koda, u tom slučaju ovo ostaje kao upozorenje ostalima :) Odgovor na temu

goran33 Goran Milic Beograd Član broj: 6040 Poruke: 46 *.bitsyu.net ICQ: 170738591 Profil Re: Za Vas koji znate o sesijama... 18.11.2002. u 22:04 - pre 260 meseci E, dobro je sto može i bez kukija, radi sa meta tagom... A što se tiče sigurnosne rupe, probao sam i ne može tek tako da se uđe... Ako uneseš samo tačni logname, a prazan pwd ne može zbog: if ($logname=='' or $pwd==''){ Header("Location: index.php"); $error = 1; ,a ako uneseš tačan logname, a pogrešan pwd, svakako nećeš ući, jer i jedno i drugo moraju da budu tačni... Probao sam... Ne može baš zbog: SELECT logname FROM root WHERE logname='$logname' AND pwd='$pwd' A i jedan i drugi su case sensitive... Hvala u svakom slučaju... Odgovor na temu

mikis Mihailo Stefanović Beograd Član broj: 1825 Poruke: 767 *.verat.net Sajt: www.mikis.org Profil Re: Za Vas koji znate o sesijama... 19.11.2002. u 01:01 - pre 260 meseci Ne znam da li si me razumeo. Kao user unesi: admin' -- znači, ime superusera, pa apostrof, razmak i dve crte. Kao pwd unesi bilo šta. Kad se ovo interpretira upit postaje: ... WHERE logname='admin' -- ' AND pwd... što znači da će sve iza onoga logname='admin' tretirati kao komentar, odnosno ignorisati! Ako nije tako, tj. ako si koristio addslashes kod validacije podataka unetih u formu, super, samo ovo je jedna od čestih rupa u PHP skriptovima. Odgovor na temu

goran33 Goran Milic Beograd Član broj: 6040 Poruke: 46 *.bitsyu.net ICQ: 170738591 Profil Re: Za Vas koji znate o sesijama... 19.11.2002. u 02:09 - pre 260 meseci Pa i dalje ne može da se uđe... Poslao sam ti link, jesi ušao??? Odgovor na temu

mikis Mihailo Stefanović Beograd Član broj: 1825 Poruke: 767 *.verat.net Sajt: www.mikis.org Profil Re: Za Vas koji znate o sesijama... 19.11.2002. u 15:11 - pre 260 meseci Ne :) Dobro je, izgleda da su to sredili u nekoj od novijih verzija PHP-a. U međuvremenu sam se malo razdremao ;) i pokušao i sam i izgleda da je sređeno, tj. da automatski bekslešuje unete stringove. Večeras ću još malo da ti hakerišem po sajtu :) Odgovor na temu

Goran Rakić Beograd Moderator Član broj: 999 Poruke: 3766 Sajt: blog.goranrakic.com +125 Profil Re: Za Vas koji znate o sesijama... 19.11.2002. u 15:43 - pre 260 meseci Upit će biti: SELECT logname FROM root WHERE logname='admin' ?? i kako sa tim možeš da oboriš sistem??? Pre toga je odradjen mysql_select_db(mojabaza.$dblink)... ne kapiram. http://sr.libreoffice.org — slobodan kancelarijski paket, obrada teksta, tablice, prezentacije, legalno bez troškova licenciranja Odgovor na temu

chupcko Negde Beograd Član broj: 5560 Poruke: 1141 Sajt: www.google.com +63 Profil Re: Za Vas koji znate o sesijama... 19.11.2002. u 15:57 - pre 260 meseci Sto se tice sigurnosne rupe: Ako je magic_quotes_gpc podeseno na On, onda ce .... pise sve u dokumentaciji, jel tako .... CHUPCKO Odgovor na temu

CONFIQ ♫♪♥♪♫ Član broj: 4218 Poruke: 1994 *.red.bezeqint.net ICQ: 82327428 +10 Profil Re: Za Vas koji znate o sesijama... 19.11.2002. u 15:59 - pre 260 meseci Citat: mikis: Ne :) Dobro je, izgleda da su to sredili u nekoj od novijih verzija PHP-a. Hum... ja mislim da je to do instaliranja PHP-a,nema nikakve veze sa verzijom! naime, ako je --enable-magic-quotes uključeno i opcije magic_quotes_(gpc,runtime,sybase) onda te opcije automatski izdvajaju polunavodnik,navodnik i obrnutu crtu.... tako da nema nikakve veze sa verzijom nego sa instaliranjem Odgovor na temu

goran33 Goran Milic Beograd Član broj: 6040 Poruke: 46 *.bitsyu.net ICQ: 170738591 Profil Re: Za Vas koji znate o sesijama... 19.11.2002. u 22:27 - pre 260 meseci Citat: Go! X: Upit će biti: SELECT logname FROM root WHERE logname='admin' ?? i kako sa tim možeš da oboriš sistem??? Pre toga je odradjen mysql_select_db(mojabaza.$dblink)... ne kapiram. Apsolutno se slažem sa ovim... Ne može da se uđe!!! By the way - magic_quotes_gpc = On! To nema veze... Jednostavno, moraju i logname i password da se tačno unesu... Odgovor na temu

CONFIQ ♫♪♥♪♫ Član broj: 4218 Poruke: 1994 *.red.bezeqint.net ICQ: 82327428 +10 Profil Re: Za Vas koji znate o sesijama... 19.11.2002. u 22:48 - pre 260 meseci Citat: By the way - magic_quotes_gpc = On! To nema veze... Jednostavno, I tekako da ima veze!!! On moze da ukuca ovo: neshto';drop table bzvze i da ti izbrishe ceo table (naravno moze bilo shta da ukuca posle ; ) Odgovor na temu

mikis Mihailo Stefanović Beograd Član broj: 1825 Poruke: 767 *.verat.net Sajt: www.mikis.org Profil Re: Za Vas koji znate o sesijama... 20.11.2002. u 02:15 - pre 260 meseci Citat: Go! X: Upit će biti: SELECT logname FROM root WHERE logname='admin' ?? i kako sa tim možeš da oboriš sistem??? Pre toga je odradjen mysql_select_db(mojabaza.$dblink)... ne kapiram. Ne baš da oboriš sistem :) Ovaj upit će ti vratiti jedan red iz baze (username i pass), pod uslovom da si pogodio username; kod proverava da li je broj vraćenih redova iz baze veći od 0, i ako jeste loguje te kao tog usera. Šta ćeš dalje da radiš je na tebi :) Mada magic quotes u ovom primeru spašava slučaj, ipak nije loše primeniti staru dobru praksu i preimenovati administratorski nalog u nešto opskurno :) Odgovor na temu

goran33 Goran Milic Beograd Član broj: 6040 Poruke: 46 *.bitsyu.net ICQ: 170738591 Profil Re: Za Vas koji znate o sesijama... 20.11.2002. u 10:23 - pre 260 meseci Da je upit samo takav to ne bi bio problem, ali tu ima i AND, znači moraš da pogodiš i user i passw... A što se tiče : "On moze da ukuca ovo: neshto';drop table bzvze i da ti izbrishe ceo table" I da je magic quotes isključen, ne bi moglo da se uđe jer je veličina polja koje se unosi ograničena na 10 karaktera... Ne znam... Mada uopšteno, ako tako može da se uđe onda ne vidim svrhu zašto bi se u nekom slučaju i stavljalo magic quotes na Off, ako toliko narušava sigurnost... Odgovor na temu

CONFIQ ♫♪♥♪♫ Član broj: 4218 Poruke: 1994 *.red.bezeqint.net ICQ: 82327428 +10 Profil Re: Za Vas koji znate o sesijama... 20.11.2002. u 12:09 - pre 260 meseci A ajde mi daj URL baš oću nešto da probam. Ako može? Odgovor na temu

CONFIQ ♫♪♥♪♫ Član broj: 4218 Poruke: 1994 *.red.bezeqint.net ICQ: 82327428 +10 Profil Re: Za Vas koji znate o sesijama... 20.11.2002. u 12:18 - pre 260 meseci Citat: goran33: Mada uopšteno, ako tako može da se uđe onda ne vidim svrhu zašto bi se u nekom slučaju i stavljalo magic quotes na Off, ako toliko narušava sigurnost... I ja se pitam zašto bi isključivao magic_quotes_gpc ??? Mada imaš 3 različite magic_quotes_* najznačajniji je magic_quotes_gpc (GET/POST/COOKIE) njega uključi a magic_quotes_runtime i magic_quotes_sybase ne moraš da uključuješ Citat: ne bi moglo da se uđe jer je veličina polja koje se unosi ograničena na 10 karaktera... Misliš u HTML-u??? stavio si na <input max=10 ??? Pa ja mogu da izmenim HTML da stavim max=1000 i da napishem kolko hoću :P Odgovor na temu

chupcko Negde Beograd Član broj: 5560 Poruke: 1141 Sajt: www.google.com +63 Profil Re: Za Vas koji znate o sesijama... 21.11.2002. u 07:43 - pre 260 meseci Eh, nemoj nikada klijentu dopustati da te stiti, curl je majka. CHUPCKO Odgovor na temu