Witam, mam 11-znakowe hasło. Zauważyłem, że wystarczy podać poprawnie tylko 8 pierwszych znaków, aby móc się zalogować na moje konto. Po tych 8 znakach mogę wpisać byle co (lub nic), a i tak zostanę zalogowany.
To coś w stylu "It's not a bug, it's a feature"? ;)
Do zalogowania wystarczy 8 znaków hasła
- Rejestracja: dni
- Ostatnio: dni
0
- Rejestracja: dni
- Ostatnio: dni
- Lokalizacja: Poznań
0
Ograniczenie funkcji crypt w php, znany babol, należałoby dopisać nowy fragment kodu, który wymagałby - po zalogowaniu starym systemem - podania nowego hasła lepiej hashowanego i zaznaczenie flagi, że dany user używa nowego systemu.
Nikomu się nie chce :D
- Rejestracja: dni
- Ostatnio: dni
0
Szczególnie że nikt w dzisiejszych czasach przez HTTP brute-force nie jeździ, chyba że jakiś napaleniec, pomijając to że taki spam hasłami od razu zostałby wychwycony.