อยากเตือนเพื่อนๆ admin หลายๆคนครับ

เมื่อก่อนผมนึกใว้ว่า admin ที่ทำเว็บคงทำเรื่องระบบ login ของ admin เองได้อย่างดี โดยไม่มีคนถายนอกเข้าไปยุ่งได้ แต่ผมก็ต้องมาคิดใหม่ เมื่อเพื่อนผมกลุ่มนึง ไปเจอเว็บไทยเว็บนึงที่เข้าไปดูหน้าส่วนตัว admin ได้ ซึ่งเค้าพลาดไปแค่ ใช้ javascript เป็นตัวจับว่า login ไดรึยัง แล้วเพื่อนมันก็มาบอกผม ผมก็เก็บๆใว้แหละคับ ไม่บอกใครอยู่แล้ว จนได้มาเจอกับตัวเอง … เรื่องเป็นแบบนี้ครับ ง่ายจนผมอึ้ง …

ลองนึกดูว่าคุณเป็น admin แล้วมีบริการที่ผมเป็นสมาชิก นะครับ
admin คนนั้นเข้าไปดูรายละเอียดผมจากหน้าลับ แล้วคงอยากเข้าเว็บของ user ซึ่งคือผม
และเว็บนั้นเป็นเว็บผมเอง เวลาผ่านไปนาน แต่ log reference ยังคงเก็บใว้อยู่
วันนึงผมอยากดูว่ามีคนเข้าเว็บผมจากใหนบ้าง ก็เลยดู log แล้วไล่ๆไป จนเจอ Jackpot

เป็นอะไรที่ผมพึ่งได้เรียนจาก อาจารย์ที่มหาลัยเหมือนกัน คือการใช้ session ซึ่ง admin คนนี้พลาดไป …

จึงของฝากใว้ครับ

ปล. เว็บที่เพื่อน และเว็บที่ผมเจอ จะเป็นปกติตลอดไปแน่นอนครับ …

:smiley: ขอบพระคุณคัรบ

แต่เว็บของผมนะครับไม่มีแม้นกระทั้ง

Admin Cp

เลยด้วยครับ

คุ้นๆ ว่าเป็นระบบของ IPB ที่หา session id ให้ตรงก็เข้าได้เลย

ทีนี้ถ้ามี referer จาก board ipb หน้า admin เมื่อไหร่ก็จบกันเลยครับ เคยทดลองกับ ipb 1.3.1 final (ตัวเดียวกะที่ใช้ที่บอร์ดนี้แหละ แต่คนละเว็บ)