Hallo Ich habe mich vor Jahren bei einem Forum angemeldet. Leider habe ich das PW vergessen. Die Seite bietet zwar eine Recovery Funktion, aber anscheinend ist die implementierte Captcha Abfrage fehlerhaft: https://productdiscussion.maqo.com/index.php?lost-password/ Kann ich das Skript dahingehend abändern, dass auch ohne Captcha das PW zurückgesetzt werden kann?
Melde dich halt mit alternativer Mailadresse nochmal an ... Oder schick dem im Impressum genannten Owner me Mail...
Paul schrieb: > Kann ich das Skript dahingehend abändern, dass auch ohne Captcha das PW > zurückgesetzt werden kann? Ja. Lad das Script vom Server (das Script, nicht die HTML-Seite), ändere es und lad es wieder hoch. Aber wenn Du den Betreiber nach den Zugangsdaten zu Server fragst, frag doch gleich nach einem neuen Passwort, geht schneller. Wenn Du nicht mit den Betreiber reden willst, siehe Ben.
Paul schrieb: > Kann ich das Skript dahingehend abändern, dass auch ohne Captcha das PW > zurückgesetzt werden kann? Die ganze Idee hinter dem Captcha-System ist, dass genau das möglichst nicht geht.
Ich habe schon Webshops gesehen, wo die Preisberechnung im Javascript des eigenen Browsers gemacht wurde. Klar konnte man das Script lokal modifizieren und mit dem selbst ausgedachten Preis bestellen. Wenn dem Shopbetreiber das nicht aufgefallen ist, dann lieferte der auch zu diesem Preis. Oder eine Downloadseite mit einem Limit von einem Download per Tag. Dummnur das die URLs der Downloads in einem PHP-Script standen. Das konnte man bequem lokal abspeichern. Die Webfrickler habens eben nicht drauf. Also versuch dein Glück.
H2O schrieb: > Melde dich halt mit alternativer Mailadresse nochmal an ... Oder schick > dem im Impressum genannten Owner me Mail... Auch bei Neuanmeldung wird nach dem Captcha gefragt Admin meldet sich nicht. H4X0R schrieb: > Ich habe schon Webshops gesehen, wo die Preisberechnung im > Javascript des eigenen Browsers gemacht wurde. genau auf so eine Methode beziehe ich mcih. Hab aber zu wenig Ahnung dafür... H2O schrieb: > Melde dich halt mit alternativer Mailadresse nochmal an ... Oder schick > dem im Impressum genannten Owner me Mail... Auch bei Neuanmeldung wird nach dem Captcha gefragt Admin meldet sich nicht.
>> Ich habe schon Webshops gesehen, wo die Preisberechnung im >> Javascript des eigenen Browsers gemacht wurde. > genau auf so eine Methode beziehe ich mcih. > Hab aber zu wenig Ahnung dafür... Das ist eine gravierende Sicherheitslücke der verwendeten Webshop-Software. Wenn das Forum (hoffentlich) besser programmiert ist und für solche Angriffe nicht anfällig ist, hast Du keine Chance. Dann kannst Du das erzeugte HTML zwar ändern, aber der Server sollte erkennen, daß Du veränderte Daten zurückzuschicken probierst bzw. das Captcha nicht korrekt gelöst wurde. Edit: Ich hab mal ein Captcha selbst geschrieben, dessen Lösung wurde einzig in einer Datenbank auf dem Server abgelegt. Dem Client wurde nur eine ID dieser Lösung mitgeteilt, nicht die Lösung selber. Beim Check wurde dann geprüft ob die übermittelte Lösung der Lösung in der Datenbank entsprach (und ob diese ID für diesen Client gültig ist). Viel Spaß beim Hacken, ohne Zugriff auf die Datenbank...
:
Bearbeitet durch User
H4X0R schrieb: > in einem PHP-Script standen Das möchte ich sehen das du ein, auf dem Server liegendes, PHP Script unkompiliert auf dem lokalen Rechner speichern kannst.. ?
Wahrscheinlich standen seine URLs aus dem PHP-Programm nach dessen Ausführung eben nicht mehr nur in diesem... Bei PHP sollte man wissen, daß die Ausgabe eines PHP-Programmes niemals das PHP-Programm selbst ist. Auch wenn oben im Browser noch .PHP steht, hat man meistens HTML bekommen. Man könnte PHP aber auch Bilder, PDFs oder was immer man möchte ausgeben lassen. Genauso kann man PHP-Code in HTML-Dateien einbinden. Dann sieht man als Client nicht mal mehr ob der Server überhaupt PHP ausgeführt hat oder nicht bzw. nur an zusätzlichen Daten wenn man z.B. eine PHP Session-ID von einem HTML bekommt oder so.
Rene K. schrieb: > Das möchte ich sehen das du ein, auf dem Server liegendes, PHP Script > unkompiliert auf dem lokalen Rechner speichern kannst.. Kann man leicht sehen, wenn am Server was mit dem PHP Modul des Webservers nicht stimmt; dann wird PHP nämlich wie Text behandelt. Ich bin auch schon ein paar Mal auf Seiten gestossen, die plötzlich ihren PHP Source ausgekotzt haben, inkl drin stehender DB Logins, oder den includes. Ist aber zugegeben in den letzten 2-3 Jahren nicht mehr passiert.
blablubb schrieb: > Rene K. schrieb: >> Das möchte ich sehen das du ein, auf dem Server liegendes, PHP Script >> unkompiliert auf dem lokalen Rechner speichern kannst.. > > Kann man leicht sehen, wenn am Server was mit dem PHP Modul des > Webservers nicht stimmt; dann wird PHP nämlich wie Text behandelt. Es sehen zu können und es auf dem Server durch ein anderes zu ersetzen, sind aber nochmal zwei ganz unterschiedliche Dinge. > Ich bin auch schon ein paar Mal auf Seiten gestossen, die plötzlich ihren > PHP Source ausgekotzt haben, inkl drin stehender DB Logins, oder den > includes. Bleibt für den Serverbetreiber zu hoffen, dass der Datenbankserver wenigstens nicht direkt von außen erreichbar ist.
Nur mal so eine Frage, kann es sein daß die Captchas in den letzten Tagen intern was geändert haben? Auf einer speziellen Webseite wo ich imemr Captches lösen mußte um mich einzuloggen funktioniert das neuerdings gar nicht mehr, auf meienr Seite wurde sicher nichts verändert
Rolf M. schrieb: > Bleibt für den Serverbetreiber zu hoffen, dass der Datenbankserver > wenigstens nicht direkt von außen erreichbar ist. Ja naja, man gibt ja in my.cnf an von welcher IP oder Range man den Server erreichen kann. Std ist ja localhost, macht ja aber natürlich kein Sinn wenn der Webserver und der SQL Server physich getrennt voneinander sind. Blöd nur wenn man eine Injection über ein Eingabefeld mit den Daten starten kann. Oder das beliebte '?id=' mit get Ausgabe der ID auf der HTML Seite ist ja nun optimalst dafür geeignet ? da kommt die sql Abfrage ja dann wieder vom gleichen Server. Ich glaube damals bei der Umstellung von PHP 4.x auf PHP 5 gab es da so extreme Probleme unter Apache.
Paul schrieb: > Die Seite bietet zwar eine Recovery Funktion, aber > anscheinend ist die implementierte Captcha Abfrage fehlerhaft Offenbar versucht die Seite ein altes Script von google zu laden, das es nicht mehr gibt. Der Seitenbetreiber müsste also auf ne neuere recaptcha api ausweichen. https://developers.google.com/recaptcha/docs/versions#recaptcha_v1_-_shut_down
:
Bearbeitet durch User
Bitte melde dich an um einen Beitrag zu schreiben. Anmeldung ist kostenlos und dauert nur eine Minute.
Bestehender Account
Schon ein Account bei Google/GoogleMail? Keine Anmeldung erforderlich!
Mit Google-Account einloggen
Mit Google-Account einloggen
Noch kein Account? Hier anmelden.