Toon posts:

[PHP] Hack dmv PHP_AUTH_USER?

Pagina: 1
Acties:

Onderwerpen

Php

dinsdag 8 juli 2003 15:17

Acties:
  • Hydrax
  • Registratie: December 2001
  • Laatst online: 27-09 21:37

Hydrax

*huh?*

Topicstarter
Goeiedag, ik heb op een website een php pagina waarbij mensen moeten inloggen.
Als dat inloggen verkeerd gaat krijg ik een mailtje binnen waarin staat welk password en username worden gebruikt.
Ondertussen ben ik al niet meer de beheerder van de site, maar staat de mail nog wel gelinkt naar mij (geen probleem overigens).

Dit alles werkt prima en er word over het algemeen keurig ingelogd.
Vandaag kreeg ik echter een mailtje binnen waarbij werd geprobeerd in te loggen met username: PHP_AUTH_USER en wachtwoord PHP_AUTH_PW.

Probeert iemand nou die site te hacken?
Bij mijn weten moet dit niet zo mogelijk zijn (ik heb erover gezocht hier op GoT). Maar ik wil toch het zekere voor het onzekere nemen en het vragen.

De site is namelijk van mijn hand, en ik wil niet dat er door mij problemen ontstaan.

Every program has two purposes -- one for which it was written and another for which it wasn't. specs

dinsdag 8 juli 2003 15:22

Acties:

Verwijderd

geen probleem :)
tenzij die user bestaat met dat wachtwoord ;)

dinsdag 8 juli 2003 15:28

Acties:
  • whoami
  • Registratie: December 2000
  • Laatst online: 00:07

whoami

Kan het niet zijn dat de security-instellingen vd webserver gewijzigd zijn en dat daardoor, ipv de inhoud van die variabeles gewoon de variabele-namen gereturned worden?
* whoami gist maar....

Ik vind het zowiezo slechts een zwakke security als je passwords dmv server-var's kan uitlezen. In IE/IIS kan je dat ook als je Basic Authentication als authentication-mode gebruikt, welke eigenlijk afgeraden wordt.

https://fgheysels.github.io/

dinsdag 8 juli 2003 15:30

Acties:
  • drm
  • Registratie: Februari 2001
  • Laatst online: 09-06 13:31

drm

f0pc0dert

Kan het niet zijn dat de security-instellingen vd webserver gewijzigd zijn en dat daardoor, ipv de inhoud van die variabeles gewoon de variabele-namen gereturned worden?
* whoami gist maar....
Nee :) Dan krijg je in php gewoon lege waarden.
Ik vind het zowiezo slechts een zwakke security als je passwords dmv server-var's kan uitlezen. In IE/IIS kan je dat ook als je Basic Authentication als authentication-mode gebruikt, welke eigenlijk afgeraden wordt.
Dit is ook middels Basic Authentication :)

't Is niet echt superveilig, maar over het algemeen beter dan een sessie-login (imo)

Music is the pleasure the human mind experiences from counting without being aware that it is counting
~ Gottfried Leibniz

dinsdag 8 juli 2003 15:35

Acties:
  • Hydrax
  • Registratie: December 2001
  • Laatst online: 27-09 21:37

Hydrax

*huh?*

Topicstarter
Ok dan, "niet mogelijk" is het antwoord waar ik op wachte.
Er is overigens niets aan de server veranderd, en als ik met een ander (verkeerd) wachtwoord inlog dan geeftie ook dat verkeerde wachtwoord aan.

Iedereen bedankt voor de snelle reacties, ik maak me al veel minder zorgen :)

Every program has two purposes -- one for which it was written and another for which it wasn't. specs

Reageer

Apple iPhone 17 LG OLED evo G5 Google Pixel 10 Samsung Galaxy S25 Star Wars: Outlaws Nintendo Switch 2 Apple AirPods Pro (2e generatie) Sony PlayStation 5 Pro

Tweakers is onderdeel van DPG Media B.V.
Alle rechten voorbehouden - Auteursrecht © 1998 - 2025 Hosting door TrueFullstaq