LOGIN ET PASSWORD EN FLASH + PHP SANS BDD
pegase31
Messages postés
6138
Date d'inscription
dimanche 21 décembre 2003
Statut
Modérateur
Dernière intervention
4 septembre 2013
-
5 nov. 2009 à 22:00
tiibz Messages postés 4 Date d'inscription jeudi 1 mai 2008 Statut Membre Dernière intervention 31 août 2010 - 31 août 2010 à 02:39
tiibz Messages postés 4 Date d'inscription jeudi 1 mai 2008 Statut Membre Dernière intervention 31 août 2010 - 31 août 2010 à 02:39
Cette discussion concerne un article du site. Pour la consulter dans son contexte d'origine, cliquez sur le lien ci-dessous.
https://codes-sources.commentcamarche.net/source/50803-login-et-password-en-flash-php-sans-bdd
https://codes-sources.commentcamarche.net/source/50803-login-et-password-en-flash-php-sans-bdd
31 août 2010 à 02:39
18 nov. 2009 à 20:51
A plus,
BBFUNK01
18 nov. 2009 à 20:23
18 nov. 2009 à 20:01
BBFUNK01
18 nov. 2009 à 19:58
Enfin, c'est pas trop dur à comprendre aussi, je parlais d'une attaque brute force. Mais c'est pas vraiment judicieux non plus car on peut le faire aussi sur la base de données, même si c'est un peu moins simple.
En fait, le seul problème c'est que c'est pas du tout dynamique, quoi... Ce qui limite beaucoup l'utilisation.
Mais n'empêche, on ne laisse rien passer ici!
Bye
18 nov. 2009 à 19:50
je suis ravi que ma source (enfin la source que Vamosplaya m'a aidé à faire) suscite des questions. En ce qui me concerne je ne suis pas le mieux placé pour juger du niveau de sécurité du code. En tout cas si vous avez des idées pour le modifier et l'améliorer, n'hésitez pas.
Je pense essayer de mon côté de rajouter une connexion à une base de données pour plus de sécurité donc si vous avez des suggestions, n'hésitez pas.
ps: je n'ai pas encore testé avec ton code WhiteMaggus, en ce moment j'essaie de compiler le fla d'un player mp3 avec le fla d'un coverflow, le tout en as2, et je galère un peu, donc si toi ou d'autres se sentent de m'aider, ça pourra faire une source qui ravira pas mal de monde à mon avis.
A plus,
BBFUNK01
18 nov. 2009 à 19:02
Tu est au courant que cette source utilise un fichier php depuis le début ?
WhiteMagus je comprend pas le rapport entre une "bombe logique" et la récupération du mdp du php? Je veux bien que tu utilise du md5 pour embêter un peu les gens qui auraient les mdp, mais je vois pas comment les obtenir puisqu'ils sont dans un fichier php, que le serveur ne donnera jamais!
18 nov. 2009 à 15:02
ça devrait t'éviter d'être "ASPIRE" EN swf;
BàT. Claude
18 nov. 2009 à 10:41
<?
// Fonction pour parser les variables de resultat vers FLASH
function Parse($variable,$valeur) {
echo "&" . $variable . "=" . utf8_encode($valeur);
}
$mdp1 = "f71dbe52628a3f83a77ab494817525c6";
$mdp2 = "49d02d55ad10973b7b9d0dc9eba7fdf0";
// on récupère les variables login et passwd envoyées par Flash
$login=md5($_POST['login']);
$passwd=md5($_POST['passwd']);
if ($login==$mdp1 && $passwd==$mdp2){
Parse("ok","1");//on renvoie à Flash ok = 1
Parse("resultat","IDENTIFICATION CORRECTE");//on renvoie à Flash la valeur de "resulat"
}
else if ($login==$mdp2 && $passwd==$mdp1){
Parse("ok","2");//on renvoie à Flash ok = 2
Parse("resultat","IDENTIFICATION CORRECTE");//on renvoie à Flash la valeur de "resulat"
}
else {
Parse("ok","0");//on renvoie à Flash ok = 0
Parse("resultat","IDENTIFICATION INCORRECTE !");//on renvoie à Flash la valeur de "resulat"
}
?>
Bye
17 nov. 2009 à 17:27
je sais qu'il y a effectivement des sources plus poussées, mais étant débutant en flash et action script, l'idée en mettant la source c'était d'avoir des commentaires constructifs comme le tien par exemple, et également de permettre aux novices qui le sont encore plus que moi d'avoir un exemple supplémentaire parmi tant d'autres pour ce type de code.
A plus,
BBFUNK01
17 nov. 2009 à 09:45
Un php n'est théoriquement pas aspirable, du moins par les ports HTTP (moi aussi j'entretenais l'idée contraire, jusqu'à il y a peu). Mais ça laisse toujours des voies aux hackers. Une petite bombe logique sur le FTP, et tout est récupéré. La solution presque acceptable serait d'utiliser un codage MD5 dans le PHP, pour empêcher la lecture des identifiants en dur.
Bon, sinon, l'intérêt de la source est moindre, il y a déjà des tonnes de sources Flash/PHP, certaines beaucoup plus poussées.
Bye.
6 nov. 2009 à 23:26
BBFUNK01
6 nov. 2009 à 23:25
Le PHP ça ne s'aspire pas :o
Tu n'aura que l'équivalent HTML de la page PHP, c'est à dire :
&ok=0&resultat=IDENTIFICATION INCORRECTE !
(dernier "else" dans le php)
et rien de plus...
6 nov. 2009 à 23:18
Peg'
6 nov. 2009 à 23:15
BBFUNK01
6 nov. 2009 à 23:06
- Tu ouvres le flash avec un décompilateur
- tu récupères l'adresse du php
- tu aspires le fichier php
- tu l'ouvres dans notepad (tout connement)
- tu notes les login/pas de qui tu veux
- tu reviens sous flash et tu rentre n'importe quel pseudo...
Trés sécuritaire.
Peg'
6 nov. 2009 à 22:56
6 nov. 2009 à 22:52
6 nov. 2009 à 22:06
6 nov. 2009 à 17:34
Les mdp ne sont pas accessibles, ils sont dans le fichier PHP, et la vérification de ceux-ci est effectué dans le PHP, aucunes infos n'est envoyé au client donc pas moyen de trouver le pass.
Je ne vois pas le rapport avec un aspirateur de site ?
La seule façon de trouver un mot de passe serait de faire du brute forcing.
Stef.
6 nov. 2009 à 14:39
6 nov. 2009 à 09:54
Peg'
6 nov. 2009 à 09:47
6 nov. 2009 à 09:26
Je ne crois pas qu'on obtienne le PHP mais seulement les ressources flash, non ?
5 nov. 2009 à 22:23
Bonne soirée Peg'
BBFUNK01
5 nov. 2009 à 22:00
En décompilant le flash, on obtiens le php et donc tout les login/pass. N'importe qui peut donc accéder aux comptes de" tout le monde trés facilement et sans grandes connaissance de "hacking".
Peg'