phpBB 3 Hash Gen

door **Kai van Rijswijk** » 15 okt 2008 18:02

Hallo,

Ik heb een eigen leden systeem, als mensen zich aanmelden dan wordt die persoon zowel geregistreerd op het forum als op de homepage.

Alles gaat goed behalve het hashen van het wachtwoord, ik heb alles geprobeerd maar ik krijg maar niet de juiste hash in de database toegevoegd.

Ik heb de functies van phpbb3 al geprobeerd maar die genereert enkel een random hash

Nu heb ik hier een tool gezien waar je een wachtwoord in kan zetten en die omzet naar de juiste hash voor phpBB3, waar kan ik deze source krijgen??

Alvast bedankt voor de hulp,

Kai van Rijswijk

door **ElbertF** » 15 okt 2008 18:47

door **Kai van Rijswijk** » 15 okt 2008 18:49

door **ElbertF** » 15 okt 2008 18:50

Wat bedoel je precies, met dezelfde input krijg je toch altijd dezelfde hash?

door **Kai van Rijswijk** » 15 okt 2008 18:58

door **ElbertF** » 15 okt 2008 19:04

Onze tool gebruikt dezelfde functie en creÃ«ert blijkbaar ook steeds een andere hash, ik weet precies hoe de phpBB hash functie in elkaar steekt maar is dat niet ook gewoon de bedoeling?

Test eens of dit geeft met die verschillende hashes en hetzelfde wachtwoord.

door **Kai van Rijswijk** » 15 okt 2008 19:08

Klopt, ik had een foutje gemaakt, excuseer.

i.i.g. bedankt voor de hulp

door **ElbertF** » 15 okt 2008 19:10

Geen probleem, ik ben ook weer wat wijzer.

door **Kai van Rijswijk** » 16 okt 2008 13:40

door **ElbertF** » 16 okt 2008 13:56

Wat gaat er niet goed? Je vraag is me niet helemaal duidelijk.

Ik neem aan dat formulieren een hash meezenden om geautomatiseerde berichten te voorkomen, deze zal gechecked worden met de sessie van de gebruiker. Een salt is een string die meegehashed wordt voor extra veiligheid.

Ik zie trouwens dat je ongefilterd in je query stopt. Gebruikt in plaats hiervan de variabelen van phpBB's input class, ook al ben je alleen nog maar lokaal aan het testen.

door **Kai van Rijswijk** » 16 okt 2008 16:51

door **ElbertF** » 16 okt 2008 18:20

Is er niet ook nog een veld waar in staat dat de gebruiker geactiveerd is? En moet de gebruiker niet toegevoegd worden in de geregistreerde gebruikers-groep? Ik noem maar wat..

Volgens mij moet er een class zijn waarmee je een gebruiker toevoegt i.p.v. dit zelf rechtstreeks in de database te doen. Die zou alles in een keer goed moeten doen.

Ik herhaal trouwens ook even dat je huidige methode van de DB bijwerken erg onveilig is.

door **Kai van Rijswijk** » 16 okt 2008 19:03

door **ElbertF** » 16 okt 2008 19:16

Zo te zien gebruiken ze i.p.v. en . De laatste twee variabelen zijn ongecontroleerd en kunnen kwaadaardige code bevatten waarmee op je database ingebroken kan worden. Voor een hacker is het vrij eenvoudig om te ontdekken dat je website hier kwetsbaar voor is.

Over het toevoegen van gebruikers; er is bijv. een functie waar je naar kunt kijken.

http://area51.phpbb.com/docs/code/phpBB ... onuser_add
http://area51.phpbb.com/docs/code/

phpBB 3 Hash Gen

phpBB 3 Hash Gen

Re: phpBB 3 Hash Gen

Re: phpBB 3 Hash Gen

Re: phpBB 3 Hash Gen

Re: phpBB 3 Hash Gen

Re: phpBB 3 Hash Gen

Re: phpBB 3 Hash Gen

Re: phpBB 3 Hash Gen

Re: phpBB 3 Hash Gen

Re: phpBB 3 Hash Gen

Re: phpBB 3 Hash Gen

Re: phpBB 3 Hash Gen

Re: phpBB 3 Hash Gen

Re: phpBB 3 Hash Gen