ICEBREAKER101010 Posted July 29, 2012 Report Posted July 29, 2012 Salutare ,Am o intrebare : cum functioneaza banul pe anumite siteuri.De exemplu ai cont pe un site si se intampla sa iti primesti ban.Adica ti se "taie" dreptul de a mai comunica cu alte persoane de pe acel site( facebook si altele ).As vrea sa stiu in ce mod baneaza.Ca dupa ip sigur nu e.Presupun ca e dupa id.Iar daca e asa ,exista vreo modalitate de bypass ?Ceva gen firebug,data tamper sau live http headers ?Multumesc Quote
totti93 Posted July 29, 2012 Report Posted July 29, 2012 Depinde... Eu cand construiesc un site cu utilizator, am un field in tabelul `users` cu ENUM('inactive', 'active', 'banned') pe care nu prea ai cum sa o exploatezi (Asta depinde si de modul in care gandesti structura scriptului server-side)...Poti scapa de ban prin SQL Injection, verificarea `banned` client-side, confirmarea statusului `banned` client-side...Nu exista un sablon pentru asa ceva. Descarca un CMS open-source si vei vedea fiecare cum are sistemul de ban. Quote
Birkoff Posted July 29, 2012 Report Posted July 29, 2012 in cms-ul meu am implementat banare dupa numele userului. eventual pot bloca temporar si accesul la site dupa ip sau dupa browser (setandui un mic cookie)la banarea dupa numele userului iti faci alt cont de pe o alta adresa de email si poti intra.la banarea dupa ip schimbi ip-ul si poti intra.la banarea dupa cookie, stergi cookie si poti intra... Quote
ICEBREAKER101010 Posted July 29, 2012 Author Report Posted July 29, 2012 in cms-ul meu am implementat banare dupa numele userului. eventual pot bloca temporar si accesul la site dupa ip sau dupa browser (setandui un mic cookie)la banarea dupa numele userului iti faci alt cont de pe o alta adresa de email si poti intra.la banarea dupa ip schimbi ip-ul si poti intra.la banarea dupa cookie, stergi cookie si poti intra...Mai mult ca sigur pe facebook ,banarea se face dupa userid.Oricum ma gandeam ca poate se face vreun bypass fara a schimba id.De exemplu cu tamper data se pot modifica unele chestii live. Quote
Birkoff Posted July 29, 2012 Report Posted July 29, 2012 Mai mult ca sigur pe facebook ,banarea se face dupa userid.Oricum ma gandeam ca poate se face vreun bypass fara a schimba id.De exemplu cu tamper data se pot modifica unele chestii live.cu tamper data poti modifica headerele de sesiune, cookie si js-ul (date la care ai acces) dar daca cms-ul e protejat contra session hijacking te pune sa te reloghezi si la logare iti zice iar ca esti banat...mai mult, daca cms-ul foloseste evercookie - virtually irrevocable persistent cookies indiferent de pe ce browser intrii stie ca tot tu esti si iti da ban (similar cum face si fb) iar daca foloseste si jslr un user blocat are slabe sanse sa faca ceva, mai rapid isi face alt cont... Quote
ICEBREAKER101010 Posted July 29, 2012 Author Report Posted July 29, 2012 cu tamper data poti modifica headerele de sesiune, cookie si js-ul (date la care ai acces) dar daca cms-ul e protejat contra session hijacking te pune sa te reloghezi si la logare iti zice iar ca esti banat...mai mult, daca cms-ul foloseste evercookie - virtually irrevocable persistent cookies indiferent de pe ce browser intrii stie ca tot tu esti si iti da ban (similar cum face si fb) iar daca foloseste si jslr un user blocat are slabe sanse sa faca ceva, mai rapid isi face alt cont...Faza e ca am reusit cu putin timp in urma(cateva zile) sa trimit mesaje si sa dau add la altii pe facebook ,cu tamper data.Dar nu merge mereu sau cel putin undeva gresesc. Quote
