1. Dator och IT
  2. IT-säkerhet

Behöver hjälp med kod/hash i cookie.

Svara
2008-01-26, 03:14
  #1
eriikh
Medlem
eriikhs avatar
Har hittat ett system som funkar på följande vis:

För att godkänna access när man trycker på en länk så använder sidan referer + cookie. Referer kan jag lätt ändra men cookien är det värre med då den består av en identifieringskod och en kod/hash av detta. Denna är den jag fått fram:

(Detta är alltså hela cookien man har när man är inne på sidan: )
Kod: 
contr2887=1201312705

"contr" är samma för alla användare
"2887" är olika för olika användare men kan jättelätt listas ut och jag har nummer till admin på sidan.

"1201312705" är själva problemet. Enda stället detta kan hittas är i cookien och då jag ej har tillgång till admin/någon annans konto så vet jag inte vad detta är. Jag misstänker att det är en hash eller liknande av "2887" eller "contr2887" för att verifiera användaren. Problemet är vad det kan vara för något? Har någon här sett liknande kod förut?
Citera
2008-01-26, 06:21
  #2
metapod
Medlem
metapods avatar
Citat:
Ursprungligen postat av eriikh
Kod: 
contr2887=1201312705
Har någon här sett liknande kod förut?

Kod - unix timestamp
När jag först tittade på din "kod" kände jag igen dess struktur, eller vad man nu vill kalla det. Testade sedan "koden" för att se om det var utav den sort jag gissade på, och visst var fallet så.

Vad vi tittar på är, med ganska hög säkerhet, något som kallas för unix timestamp. Ett timestamp är något som håller reda på vad klockan var vid ett visst tillfälle, och unix timestamp fungerar på så sätt att den visar hur många sekunder som passerat sedan första januari 1970.

Hur är detta relevant?
Jag vet tyvärr inte varför de använda ett timestamp för att identifiera sina användare, men i listan nedan finns ett antal alternativ.
  • Håller reda på när användaren loggade in
  • Håller reda på när användaren registrerade sig
  • Håller reda på när användaren först kom in på webplatsen
  • Används som identifikation för att se vilken SESSION-cookie som hör till vem

Vet faktiskt ärligt talat inte hur detta skulle fungera rent praktiskt. Men kanske är det så att den, exempelvis, kollar när en viss användare loggade in, och sedan tittar om din timestamp matchar denna användare. Om din timestamp är densamma som den som finns i databasen får du access till whatever.

Källor
Fotnot
Är helt fruktansvärt trött just nu, så felaktigheter i denna post är näst intill garanterade.
__________________
Senast redigerad av metapod 2008-01-26 kl. 06:30.
Citera
Svara

Skapa ett konto eller logga in för att kommentera

Du måste vara medlem för att kunna kommentera

Skapa ett konto

Det är enkelt att registrera ett nytt konto

Bli medlem

Logga in

Har du redan ett konto? Logga in här

Logga in