Форум PHP

о, благодарю, то что нужно!

Почитайте эту статью. Там все подробно написано

хм, а как можно при помощи Иньекции своровать пароль? ведь чтобы провести иньекцию надо ведь как то её вписать в сайт...

>Приветствую.
>Как может злоумышленик подделать Куки чтобы получить
>администраторские права? ведь для этого необходимо знать
>пароль Админа...
Нет ну это зависит от системы аутентификации - если в куки должен лежать пароль, а злоумышленик его не знает - он может подделывать cookie до посиненеия... Предварительно пароль обычно крадут, например, при помощи SQL-инъекции или воруя cookie, или ещё как-нибудь...

вот вот у меня второй вариант!

Вообще все зависит от метода авторизации. Например, если сделать так, что при авторизации в куки добавляется следующее значение.

Администратор - 1 Администратор2 - 2

то в принципе можно ломануть.

Если же в куки добавляется имя и пароль, да еще и в кодированном виде, то шансов мало.

P.S. Вроде так.

хо хо, я то изучил лишь самые основы хакерства.. блин непонимаю о чём Вы говорите... :( точнее как это реализовать...
я то имел ввиду что вот допустим есть на сайте авторизация на куки, и допустим никакие иньекции не проканают то каким макаром можно подделать куки? там ведь всётаки пароль нужен, или вообще не нужен???

И все таки вопрос поставлен неправильно. Ответить на этот вопрос конкретно невозможно. Фантазия хакеров иногда превосходит все ожидания. Пароль знать и не обязательно если скрипт уязвим перед SQL - инъекциями. Для этого даже не обязательно подделывать COOKIE.

и что? смысл то ясен?...
я имею ввиду как может злоумышленник подделать права доступа если он даже пароля то не знает,....

Неправильно поставлен вопрос.