[HaBo]

IRoot · 27.06.07, 18:29

Hi, meine PHP Passwort Überprüfung sieht wie folgt aus:

POST Bereich der Page:

Code:

<form method="post">
<b>Username:</b><br>
<input name="username"><br>
<b>Passwort:</b><br>
<input type="password" name="passwort" style="font-size:11px;"><br>
<input type="submit" name="login" value="&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;Login...&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;" style="font-size:9;">';

Relevanter PHP Bereich:

PHP-Code:

  if($username == "Administrator" and $passwort == "irgendetwas") {
//Du bist nun im Ultra Sicheren Bereich dieser Webside :)
}

Ich wollte mal Fragen wie sicher eine Solche Passwort Abfrage ist :), und welche Möglichkeiten es Theoretisch geben würde ausser Brutforce in den Admin Bereich einzudringen.

Gruss IRoot

Lesco · 27.06.07, 18:35

Du solltest am besten MD5(opt. mit salts) verwenden, um zu verhindern, dass der Angreifer dein Passwort kennt, sollte ihm irgendwie die php-Datei in die Hände fallen. Wie immer sind natürlich auch sichere Passwörter erforderlich, aber ansonsten sollte dein Skript an sich dann recht sicher sein.

Andere Möglichkeiten zum Angriff wären Schwachstellen der Server-Software, daher solltest du zusehen, dass du apache usw. auch aktuell hälst, falls es sich um deinen eigenen Server handelt.

Anzeige

- Anzeige -

IRoot · 27.06.07, 18:38

Ist mir auch klar

Ist aber sehr selten das der Server die PHP Datei ausspuckt.

Ansonsten ist bei einer Solchen Abfrage wirklich nichts zu machen?

Gruss IRoot

Dawen · 27.06.07, 18:50

Ich würde ein Servlet nehmen ( keine Ahnung ob dein Anbietet nen Servlet Container anbietet ) und dort in MySQL verschlüsselte PWDs abspeichern.

Is aber Geschmackssache....

Bytestream · 27.06.07, 18:57

Das Script an sich ist nicht unsicher, aber da du mit $passwort etc. auf die Eingabefelder zugreifst gehe ich davon das REGISTER_GLOBALS on sind. Davon würde ich abraten. Warum kannst du auf php.net nachlesen.

Anzeige

- Anzeige -

27.06.07, 18:29	#1 (permalink)
IRoot Registriert seit: 26.06.07 Likes: 0	PHP Passwort Abfrage, ist das sicher? Anzeige Hi, meine PHP Passwort Überprüfung sieht wie folgt aus: POST Bereich der Page: Code: <form method="post"> <b>Username:</b><br> <input name="username"><br> <b>Passwort:</b><br> <input type="password" name="passwort" style="font-size:11px;"><br> <input type="submit" name="login" value="     Login...     " style="font-size:9;">'; Relevanter PHP Bereich: PHP-Code: `if($username == "Administrator" and $passwort == "irgendetwas") { //Du bist nun im Ultra Sicheren Bereich dieser Webside :) }` Ich wollte mal Fragen wie sicher eine Solche Passwort Abfrage ist :), und welche Möglichkeiten es Theoretisch geben würde ausser Brutforce in den Admin Bereich einzudringen. Gruss IRoot

Themen-Optionen
Druckbare Version zeigen Jemanden per E-Mail auf dieses Thema hinweisen
Ansicht
Linear-Darstellung Zur Hybrid-Darstellung wechseln Zur Baum-Darstellung wechseln

Ähnliche Themen
Thema	Autor	Forum	Antworten	Letzter Beitrag
Passwort abfrage Fenster	r3ctox	Webmaster-Security	1	04.06.09 15:44
MySQL Passwort-Abfrage	Cloud2302	(Web-) Design und webbasierte Sprachen	1	26.04.06 20:27
tweak-xp passwort abfrage! help	deli	Die Problemzone	3	08.07.05 17:03
Passwort-Abfrage über clientseitiges JavaScript nicht sicher. Weshalb?	dfi	(Web-) Design und webbasierte Sprachen	17	23.06.05 18:39
Passwort-Abfrage über clientseitiges JavaScript nicht sicher. Weshalb?	dfi	(In)security allgemein	13	18.06.05 20:13

27.06.07, 18:35	#2 (permalink)
Lesco Senior Member Registriert seit: 03.09.05 Likes: 0	Du solltest am besten MD5(opt. mit salts) verwenden, um zu verhindern, dass der Angreifer dein Passwort kennt, sollte ihm irgendwie die php-Datei in die Hände fallen. Wie immer sind natürlich auch sichere Passwörter erforderlich, aber ansonsten sollte dein Skript an sich dann recht sicher sein. Andere Möglichkeiten zum Angriff wären Schwachstellen der Server-Software, daher solltest du zusehen, dass du apache usw. auch aktuell hälst, falls es sich um deinen eigenen Server handelt.

27.06.07, 18:38	#3 (permalink)
IRoot Themenstarter Registriert seit: 26.06.07 Likes: 0	Ist mir auch klar Ist aber sehr selten das der Server die PHP Datei ausspuckt. Ansonsten ist bei einer Solchen Abfrage wirklich nichts zu machen? Gruss IRoot

27.06.07, 18:50	#4 (permalink)
Dawen Registriert seit: 19.08.04 Likes: 1	Ich würde ein Servlet nehmen ( keine Ahnung ob dein Anbietet nen Servlet Container anbietet ) und dort in MySQL verschlüsselte PWDs abspeichern. Is aber Geschmackssache....

27.06.07, 18:57	#5 (permalink)
Bytestream Registriert seit: 14.06.07 Likes: 0	Das Script an sich ist nicht unsicher, aber da du mit $passwort etc. auf die Eingabefelder zugreifst gehe ich davon das REGISTER_GLOBALS on sind. Davon würde ich abraten. Warum kannst du auf php.net nachlesen.

[HaBo]

PHP Passwort Abfrage, ist das sicher?