PHP Beveiliging

Bedankt voor het testen allemaal
Hi all,

Ik heb een loginclass geschreven, die is nu af en ik wil graag weten of ik hem goed heb beveiligd.
www.syncie.nl, dat is de link, daar kun je inloggen.

25 euro beloning voor degene die het lukt om het te kraken en het lek als eerste meldt bij mij!

Mocht je een lek vinden zou je dit dan willen melden in dit topic.

Alvast bedankt, Ivo

-edit-
Je moet inloggen op het account Syncie waarvan je het PW niet kent.

Demo-accounts:
Gebruikersnaam: demo, demo1, demo, demo2, demo3, demo 4, demo5, demo6, demo7, demo8 en demo9
Wachtwoord: demo

Er kan maar 1 iemand per account ingelogd zijn dus het kan zijn dat je af en toe uitgelogd wordt, dit komt omdat iemand anders dan op die demo-account komt.

Error: Undefined variable: nGetHash .

Is opgelost

Maar eh, zit er een lek in, of wil je weten óf er een lek in zit?

Ik wil weten of er een lek in zit, dit is een loginsys dat ik heb gescript en wil gaan gebruiken, ik heb veel tijd in de beveiliging gestoken en ik wil weten of dat genoeg is

ik hoop dat tie goed is beveiligt voor je

Als we niks weten kunnen we weinig doen he. We hebben geen webmaster info of andere user info. We weten alleen dat er een loginform is, en meer dan sql injection proberen te doen gaat niet lukken

Oke ik ga de beginpost editen

Is gewoon veilig zolang niemand je sessie id kaapt

Die mag je wel hebben
Wil wel weten of jij daar echt wat mee kan;p

Geef maar.

Moet je wel ff opnieuw inloggen, en dan dat id hier plaatsen, en niet meteen uitloggen.

Je hebt een PB

Nja; ik vind hem veilig.

Bruteforce al geprobeerd ?

Bruteforce'en is niet hacken.

En na 3x fout inloggen kan je 15 minuten lang niet meer inloggen

Waarom is alles doorgestreept in de startpost ?

Omdat er bovenaanstaat bedankt voor het .......
Dus het is klaar

Is dat met een db gedaan, die BF-protection, of met cookies/sessies ?
Als t met cookies/sessies gedaan is zit r nog een lek in, want die kunnen nogal makkelijk aangepast worden zoals je vast wel weet.

@thaan
Dat zeg ik toch ook niet.

iisys reageerde met "Bruteforce al geprobeerd?"
Ik reageerde erop dat het niet hacken is en dat het eigenlijk ook niet beveilig kan worden. Zelfs als heb je "anti-BF" kan het nog gebruteforced worden, het duurd alleen nogal lang.

Maarja, laat maar zitten, geen meningsverschil met issys.

Als Syncie zegt dat je na 3 foute pogingen 1 kwartier moet wachten, kun je 96 pogingen per dag doen; ruim 35.000 per jaar, en dan ben je net bijna klaar en heeft Syncie zijn wachtwoord veranderd, dus heeft niet veel nut meer dan.