Игорь_Vasinsky
19.06.2013 - 10:42
| Цитата |
$site_login="qwerty";
$site_pass="qwerty12345"; |
| Цитата |
if(strlen($_POST[sitelogin])>2 AND strlen($_POST[sitepass])>2){
setcookie("sitelogin", $_POST[sitelogin], time()+10000000, "/");
setcookie("sitepass", md5($_POST[sitepass]), time()+10000000, "/");
if($site_login==$_POST[sitelogin] AND md5($site_pass)==md5($_POST[sitepass]))
echo "ok";
else echo "Error!";
exit; |
тебя взломали простым перебором. причём судя по качеству логина и пароля - долго не парились.
самые минимальные изменения, которые можно сделать - это сделать более сложными логин и пароль, использовать знаки препинания, числа, разный регистр символов.
_____________
HTML, CSS (Bootstrap), JS(JQuery, ExtJS), PHP, MySQL, MSSql, Posgres, (TSql, BI OLAP, MDX), Mongo, Git, SVN, CodeIgnater, Symfony, Yii 2, JiRA, Redmine, Bitbucket, Composer, Rabbit MQ, Amazon (SQS, S3, Transcribe), Docker
remkas
19.06.2013 - 14:21
пароль был сложный с различными знаками и тд.(то что на примере не имеет значения), а на взлом у него ушло все минута и он в админке.
Игорь_Vasinsky
19.06.2013 - 14:30
| Цитата |
| if($site_login==$_POST[sitelogin] AND md5($site_pass)==md5($_POST[sitepass])) |
_____________
HTML, CSS (Bootstrap), JS(JQuery, ExtJS), PHP, MySQL, MSSql, Posgres, (TSql, BI OLAP, MDX), Mongo, Git, SVN, CodeIgnater, Symfony, Yii 2, JiRA, Redmine, Bitbucket, Composer, Rabbit MQ, Amazon (SQS, S3, Transcribe), Docker
glock18
19.06.2013 - 15:00
| Цитата (remkas @ 19.06.2013 - 10:21) |
| пароль был сложный с различными знаками и тд.(то что на примере не имеет значения), а на взлом у него ушло все минута и он в админке. |
Посмотрите по логам - был именно подбор пароля или пароль был введен с первой попытки (можно по кол-ву запросов в тот период понять). Вход в админку делается по ssl-сертификату?
Michael
19.06.2013 - 15:50
у тебя вот эти первоначальные обработчики аякс запросов никак не защищены регистрацией.
Там в принципе очень стремный кодинг, ($f=fopen($_POST[txtdir]."/sitemap , strlen, отсутствующие кавычки для ключей массива и др.), при котором и в любой другой части сайта могло быть полно сюрпризов
_____________
There never was a struggle in the soul of a good man that was not hard
remkas
19.06.2013 - 16:54
| Цитата (glock18 @ 19.06.2013 - 14:00) |
| Цитата (remkas @ 19.06.2013 - 10:21) | | пароль был сложный с различными знаками и тд.(то что на примере не имеет значения), а на взлом у него ушло все минута и он в админке. |
Посмотрите по логам - был именно подбор пароля или пароль был введен с первой попытки (можно по кол-ву запросов в тот период понять). Вход в админку делается по ssl-сертификату?
|
Естественно логи я посмотрел сразу же, перебор исключен на 100%.
Быстрый ответ:
Powered by dgreen
Здесь расположена полная версия этой страницы.