?
Das ist einfaches Testen der Software gewesen, den Hidden Input habe ich nicht einmal sehen müssen, das habe ich aus folgenden Anhaltspunkten geschlossen:
1. Der Browser akzeptiert keine Cookies. Wenn er sie akzeptieren würde, könnte er sie nicht speichern, da der Sicherungsordner kein Schreibrecht aufweißt.
2. Wenn ich mich einlogge, erhalte bin ich als DadW eingeloggt. Gehe ich aber ein paar Formulare zurück (was ich immer mache, da ich nach der Anmeldung ständig irgendwohin directed werde, nur nicht dorthin, wo ich war), bin ich wieder nicht eingeloggt - Anonym. Mache ich nun mit dem Formular weiter, bleibe ich DadW.
3. Daraus schließe ich, dass der Server eine Session-ID generiert hat und ich sie bei jeder weiteren Anfrage mitsende. Da früheres Zurüclspringen der Formulare MIT Cookieverwaltung dazu geführt hat, dass ich weiterhin als DadW erkannt wurde, wird die Session hier irgendwo gesichert worden sein, wo es nicht darauf ankommt, ob das Formular das gleiche ist - also im Cache des Browsers auf der Festplatte (Zustandslosigkeit des HTTP spielt hier auch eine Rolle). Ohne Cookie-Unterstützung werde ich nur erkannt, wenn ich mit dem Rückgabeformular, welches der Server generiert hat, weitermache - Hidden Input-Feld ist meine starke Vermutung, da brauche ich nicht einmal das DOM zu analysieren oder gar HTTP-Headers bemühen.
In jedem Fall habe ich mir nicht angeschaut, welches Muster die Session hat. Ich persönlich würde hierfür einen Syscall a'la:
substr(`echo '@_' | sha256sum --text`,0,64)
verwenden (Perlbezogenes Beispiel, mit @_ als Hashseed, kann man also beliebig viele Parameter mit angeben). Ich denke mir, dass wenn man die Session als Parameter überträgt, man mit ein bisschen Testen die Generierung an sich nachvollziehen kann. Und nun stelle man sich vor, man würde sich die gegenwärtige Session des Admins verpassen und Murks machen, vorrausgesetzt, mit dem Admin-Konto lässt sich Murks machen - ich sehe derat wenig Beispiele von Machtdemonstration im Forum, dass man denken könnte, die Software unterstützt das nicht und der Großadmin verändert die MySQL-Tabelleneinträge manuell.
Ist an sich gar nicht so spektakulär, das hätte jeder rausfinden können. Ist nur interessand zu wissen, dass man die Session-ID eines Nutzers abfangen könnte und nicht mal ein Cookie braucht, um als der User angemeldet zu bleiben - die Verschlüsselung selbst wird man vermutlich auch relativ schnell rausgekriegt haben, sind ja fähige Leute hier.
