View Single Post
Sitat av Dyret Vis innlegg
Post-passord er en innebygd greie i Wordpress nå i dag. Så med mindre de har en utdatert versjon av Wordpress så er ikke dette spesielt hårreisende. En negativ ting med denne funksjonaliteten, er at passordet blir hashet og satt i en cookie, og det gjør at man ikke kan "logge seg ut" fra en Wordpress-post man har gitt passordet til. Dette krever i så fall at man sletter cookies selv, eller at webadmin har lagt inn en funksjon for å slette cookies etter man har rendret ferdig siden.

Når det er sagt så vil du nok alltid få 302 som respons. Det som skjer er at du sender inn passordet, det hashes, og så får du en cookie med hashen av passordet. Så blir du redirectet til å laste inn siden på nytt igjen, og hvis hashen i cookie matcher, så får du se det beskyttede innholdet. Om ikke så vises den samme passord-boksen igjen. Du må derfor gjøre dette i to operasjoner for hvert passord du ønsker å sjekke.
Vis hele sitatet...

Okey, det gir litt sens. Men hadde det ikke vært mulig å bare sjekke i scriptet som skal gjøre brute forcingen om det fortsatt er et input field der?

Fielded ser forresten slik ut som man egt. kan se for seg. Er ikke noe brukernavn involvert.
███████

Her er cookiesene som blir satt/sendt:
███████

Litt mer info:
███████
Sist endret av Jonta; 3. april 2019 kl. 22:57. Grunn: Informasjon fjernet for å hindre identifisering