Как известно, можно подделать ip адрес с помощью скрипта, делающего запрос на форум
И если мы узнаем текущий ip администратора и текущую сессию в админцентре, мы сможем сделать запрос, который обойдет имеющуюся защиту и, например, сменит пароль администратору
После чего можно делать что угодно
Добавим хотя-бы немного дополнительных проблем, а именно проверку еще и куки
Если у злоумышленника есть возможность украсть и куки, то тогда ничто не спасет)
ALTER TABLE __PREFIX__admin_sessions ADD session_cookie varchar(255) DEFAULT NULL;
./sources/action_admin/login.php ~250line with smartcards
Находясь на нашем сайте, вы соглашаетесь на использование файлов cookie, а также с нашим положением о конфиденциальности Политика конфиденциальности и пользовательским соглашением Условия использования.
Вопрос
Arhar
Как известно, можно подделать ip адрес с помощью скрипта, делающего запрос на форум
И если мы узнаем текущий ip администратора и текущую сессию в админцентре, мы сможем сделать запрос, который обойдет имеющуюся защиту и, например, сменит пароль администратору
После чего можно делать что угодно
Добавим хотя-бы немного дополнительных проблем, а именно проверку еще и куки
Если у злоумышленника есть возможность украсть и куки, то тогда ничто не спасет)
./sources/action_admin/login.php ~250line with smartcards
./sources/lib/admin_functions.php ~182line
Ссылка на комментарий
Поделиться на других сайтах
0 ответов на этот вопрос
Рекомендуемые сообщения
Присоединиться к обсуждению
Вы можете ответить сейчас, а зарегистрироваться позже. Если у вас уже есть аккаунт, войдите, чтобы ответить от своего имени.