Форма авторизации WordPress на странице wp-login.php весьма информативна (рис. 3), особенно для злоумышленника: при вводе неправильных данных появляются подсказки о неверном имени пользователя или пароле для конкретного пользователя.
wp-login.php and mod security. Thread starter sahostking.
login = ' UNION SELECT 1, 'admin', md5('1234'), 1 # pass = 1234. Проблема выше (Muracha'а) решается простым выводом данных.
Nutzung von Community-Inhalten gemäß CC-BY-SA , sofern nicht anders angegeben.
AND ExtractValue(1, CONCAT(0x5c, (SELECT table_name FROM information_schema.tables LIMIT 1)));-- Available in 5.1.5.
Вот приспичило мне скрыть странички wp-admin и wp-login, но есть одна проблемка, о ней и поговорим!
Upon logging in with correct credentials (I double checked first by resetting it, then manually changing it in PhpMyAdmin) I kept getting bounced back to the
[04:06:53] [INFO] the back-end DBMS is MySQL. web server operating system: Linux Ubuntu 10.10 (Maverick Meerkat). web application technology: PHP 5.3.3, Apache 2.2.16.
хэш+соль из переменной PHP_AUTH_PASSWORD c записями из таблицы паролей password+salt. -при следующей авторизации апдэйтим код соли в колонке salt, забираяя его рандомом из таблицы кодов. Такая схема имеет право на существование?