Brukernavn og passord på webside?

[Edorph]

Det er vel ikke mulig å se innholdet i ei mappe når det ligger ei index fil der? Jeg synes Pallesens måte var ganske finurlig, jeg

[pgdx]

Det er vel ikke mulig å se innholdet i ei mappe når det ligger ei index fil der? Jeg synes Pallesens måte var ganske finurlig, jeg

Nei, men da kan ingen andre se det heller. Med mindre de kan hele banen.

 

Poenget er at man skal kunne sperre index-filen også, med mindre man er med i en gruppe som har tilgang.

 

smart-ass

[Lokaltog]

Poenget er at man skal kunne sperre index-filen også, med mindre man er med i en gruppe som har tilgang.

 

smart-ass

Tillatt å være hyggelig mot andre på forumet? Blir kvalm av folk som kommer med sånne kommentarer.

[Edorph]

Hmm, det er naturligvis mulig at jeg, som du så hyggelig påpeker, ikke tenker lengre enn min egen nesetipp her, men sett at hver av "brukernavnpassord.html" filene videresender deg til "./hemmeligindex.html"

Ingen av sidene blir på noen måte sperret, men de blir jo gjemt slik at bare akkurat dem som vet hvor de ligger (dvs kjenner adressen eller ett sett brukernavn og passord) kan finne dem.

Eller vil de kunne dukke opp i en søkemotor e.l.? Jeg spør fordi jeg lurer, ikke fordi jeg føler jeg må bortforklare min 'narrowmindness' ... Ok, kanskje litt derfor også, da

[pgdx]

Vel, jeg blir kvalm av folk som ikke gidder å lese hele tråden før de svarer.

 

Ja, de blir funnet så lenge en person gidder å søke etter filnavn...

 

main.php, config.php, user.php, install.php osv.

Endret 8. august 2004 av drange_net

[Edorph]

Men hvis man ikke vet hva fila heter er det jo ikke bare bare å søke etter den.

[pgdx]

Poenget er at hvis du har en mappe, http://domain.org/admin og der legger en index.php som ikke viser noe spesielt, er det mulig å prøve baner som admin/user.php osv...

[Edorph]

Men med et litt innfløkt passord er det ikke lett å finne brukernavnpassord.html ..

Jaja, vi behøver ikke diskutere det mer, jeg hadde bare aldri sett den metoden før, og undret meg litt over hvor vanskelig det ville være å knekke den.

[jorgis]

Hvor lang tid tror du det tar å lage et enkelt PHP-script som kan bruteforce filnavn og kontrollere at de finnes? Personlig tipper jeg et slikt script vil kunne scanne gjennom en mappe ganske fort.

[pgdx]

Jaja, vi behøver ikke diskutere det mer, jeg hadde bare aldri sett den metoden før, og undret meg litt over hvor vanskelig det ville være å knekke den.

Fordi at brukernavn og passord MÅ sendes http til nettleseren for at den skal vite om det er riktig eller ei.

 

Med apaches .htaccess eller php, gjøres dette server-side.

Hvor lang tid tror du det tar å lage et enkelt PHP-script som kan bruteforce filnavn og kontrollere at de finnes?

Hvis du er kjapp og vet hva du gjør, under ett minutt. Hvis du aldri har gjort det før, men kan php, kanskje litt over ti minutter. Ellers vil jeg tro at det beste er å spørre på #php på en eller annen IRC-server.

[Edorph]

Sett at brukernavnet er på 6 tegn, at passordet også er det, og at det er 63 forskjellige tegn til rådighet. Det skulle bli nærmere 4 000 000 000 000 000 000 000 muligheter til brukernavnpassord.html. Noe sier meg at selv uten den lille forsinkelsen i PHP scriptet hver gang serveren sender forespørselen sin til serveren min, vil det ta mer enn 1 minutt.

 

Men jeg har tatt feil før.

 

Fordi at brukernavn og passord MÅ sendes http til nettleseren for at den skal vite om det er riktig eller ei.

Det blir jo egentlig serveren som sjekker om det er riktig eller ei. Hva mener du med at det må sendes HTTP til nettleseren?

[pgdx]

Fordi at når du sender et passord i javascript, så ligger passordet i kilden. Det er NETTLESEREN som sjekker om du skriver riktig passord og brukernavn. Ikke serveren.

 

Og får nettleseren informasjonen, så har du den også. Man kan ikke sende noe til nettleseren som du ikke får tilgang til.

 

I tillegg til at passord og brukernavn ligger der, vil mest sannsynlig banen til neste fil også ligge der.

 

Se på try2hack og se hvor vanskelig det er å "hacke" javascript-sikrede sider.

http://try2hack.nl/levels/

 

Trykk "vis kilde" og bla ned til du finner dette. Se om du finner passordet.

 

    <script language="JavaScript">
     <!--
     function Try(passwd) {
       if (passwd =="h4x0r") {
         alert("Alright! On to level 2...");
         location.href = "level2-xfdgnh.xhtml";
       }
       else {
         alert("The password is incorrect. Please don't try again.");
         location.href = "http://www.disney.com/";
       }
     }
     //-->
   </script>

[Edorph]

Passordet ligger ikke i kilden i scriptet til pallesen hvis det er det du mener.

[Lurifaksen]

<script type="text/javascript">

 

function CheckPassword() {

  var username=document.login.username.value;

  var password=document.login.password.value;

  location.href = username + password;

}

 

</script></p>

  <p> </p>

<form method="post" action="ingen_javascript.htm"

  onsubmit="CheckPassword();return false;" name="login">

<pre>

Brukernavn: <input type="text" name="username">

Passord:    <input type="password" name="password">

</pre>

<input type="submit" value="Login"

  onclick="CheckPassword();return false;">

 

Denne bruker jeg. Sikkert lett å komme inn på for de som kan det, men den funker for meg!

 

Noen som klarer å komme igjennom en slik en?

NEI , NEI, NEI !!

Dette er for lett å bryte.

Det bør ikke være alt for lett å komme seg gjennom med 'SQL injenctions' eller med 'document.void();' i adress bar...

Akkurat den javascript metoden er vel ikke akkurat lett å komme seg forbi? Det ligger en fil med navnet "brukernavnpassord" i mappen, og denne er jo ikke mulig å se siden det ikke er mulig å se indeks av mappen. Brute-force er vel eneste alternativet her?

Endret 8. august 2004 av GeeZuZz

[Magpal]

Er ikke helt inne i hacking osv. men skulle jo nesten tro at det ville være litt vanskelig å komme igjennom iallefall.

 

Hvordan fungerer/Hva er Brute-force egentlig?

 

edit: Skriveleif

Endret 8. august 2004 av Pallesen

[Lemkin]

Bruteforce er når et program tester ut alle forskjellige kombinasjoner av bokstaver og tall som brukernavn og passord til det finner noe som "passer", altså et brukernavn og passord som er gyldig på siden.

[Lurifaksen]

Brute-force = forsøke alle mulige kombinasjoner helt til den riktige er funnet. Eksempel på brukernavn:passord:

 

a:a

b:b

c:c

og resten av 1 bokstavs-kombinasjonene, deretter:

aa:aa

ab:ab

ac:ac

osv.

 

Ikke anbefalt å gjøre manuelt med andre ord... Men hvis du får PC'en til å prøve dette, kan det gå ganske fort. En PC får gjerne prøvd opp i mot en million kombinasjoner i sekundet, og vil derfor klare å finne riktig brukernavn og passord ganske raskt dersom det bare er noen få tegn.

 

Edit: litt sein der ja...

Endret 8. august 2004 av GeeZuZz

[Edorph]

Sett at du har en sånn kode-hengelås med tre hjul med tall på. Så setter du deg ned å forsøker alle mulig kombinasjoner systematisk til du finner den rette.

111 112 113 114 115 116 117 118 119 121 122 123 124 125 126 127 128 129 osv osv

Med en datamaskin kan du selvsagt prøve et ufattelig antall kobinasjoner rimelig raskt, men det er også en smal sak å utvide antall muligheter.

På hengelåsen har du 3 posisjoner med 10 muligheter, altså 10^3 muligheter. Et passord på 10 tegn, derimot, hvor hver av de 10 posisjonene har kanskje 70 muligheter, får 70^10 = 2 800 000 000 000 000 000 kombinasjoner.

 

Edit: akk, enda seinere!

Endret 8. august 2004 av Edorph

[Magpal]

He, he. Takk for 3 gode svar!