На главную | Отправить SMS | Сделать стартовой | Поставить закладку |
Разделы сайта

 Главная
 Новости
 Регистрация
 Region Free Keys
 Телефония
 Железо
 Software
 Секреты Windows
 Безопасность
 Web-дизайн
 Web-мастерам
 Фото-приколы
 Хостинги
 Раскрутка сайта
 Анекдоты
 Игромания
 Фотогалерея
 Разное
 Знакомства
 Мир техники
 Флейм
 Голосования
 Музыка
 Спорт
 Кино
 Авто
 Зал суда
 Программа TB
 Форум
 Авторам статей
 Реклама на сайте

Рассылка

"Хакерство и безопасность. Взломы и защита от них"

Content.Mail.Ru

Реклама



Хакерство и безопасность

 

ПОСОБИЕ ПО ВЗЛОМУ ИЛИ ТАК НЕ СТОИТ СТАВИТЬ ПАРОЛИ... 

    
      Порой владельцу вебсайта хочется дать доступ к  отдельным страница не всем посетителям, а лишь избранным. Для этого используют ту или иную систему парольной защиты, понимая, что по уровню защищенности защита защите рознь. Просматривая сайты по бизнесу и коммерции я все чаще стал сталкиваться с защитой сделанной с использованием жава скрипта - быстро, просто, дешево и сердито. Да, и еще соверщенно ненадежно, так как для получения пароля требуется затратить секунд 10-15. В качестве примера реализации защиты, о которой идет речь, взгляните на страницы двух сайтов "Биржа Виртуального Труда" (Вход для зарегистрированных пользователей http://virtbirzha.com/club_holl.htm) и "Как заработать в Интернете" (Библиотека http://e-cc.rhk.ru/biblioteka.html).  Обратившись к ссылке получаете окошко с   предложением ввести пароль. Если вводите неправильный пароль (или не вводите никакого), то видите сообщение - пароль не верен, после чего загружается другая страница. Существует множество азбучных истин. Информация о том, что нельзя хранить пароль в самой htm страничке вместе со скриптом его проверяющим, как раз к таким и относится, но, как говориться, не меркнет истина от повторения - повторюсь!  Рассмотрим установку защиты,  затем ее взлом. И то и другое элементарно, но для полного чайника любой написавший свою защиту программист с большой буквы, а ее взломавший - крутой хакер. 

Для установки защиты в тест html документа помещаем фрагмент кода 
<HTML>
<HEAD>
.....
<script language="JavaScript">
pass = prompt('Введите пароль:');
if (pass=='1234567') { alert('Добро пожаловать в клуб крутых хакеров!') } else { alert('Пароль неверный!'), top.location.href="exit.htm" }
</script> 
</HEAD>
<BODY.....
Запрошенный prompt 'ом у пользователя пароль сохраняется в переменной pass, содержимое которой в условном операторе сравнивается с установленным паролем (в рассматриваемом примере 1234567). Один единственный неприятный момент, на котором собственно и строится защита, тот что в браузере (во всяком случае в Microsoft Internet Explorer стоящим у большинства пользователей) нельзя просмотреть исходный html код страницы пока не будет нажата кнопка, предлагаемая prompt 'ом, а после того как она была нажата смотреть текст страницы в html коде бесполезно, так как для рассматриваемого случая (при неверном пароле) будет выполнен переход к странице exit.htm. Для просмотра "хитрых" страниц я использую программу собственной разработки, но в данном случае проблема успешно решается и без нее с помощью все того же Microsoft Internet Explorer. Пускай страница index.htm содержит ссылку ведущую на страницу a.htm. При переходе по ссылке получаем по лбу окошком, требующем ввести пароль. Но мы туда просто так не пойдем не узнав предварительно пароль. Загрузив страницу index.htm подводим курсор мышки к ссылке на документ а.htm  и нажимаем ПРАВУЮ клавишу мыши. В появившемся окне выбираем пункт "сохранить объект как" и сохраняем содержимое файла а.htm на диске под именем а.txt. Затем открываем сохраненный файл в блокноте, смотрим пароль и, введя его в окне браузера, получаем доступ к закрытой странице. Вот и все! Быстро, просто, элементарно - таковы характеристики, как способа установки защиты, так и способа ее обхода. 

Автор текста Игорь Викторович Ананченко, к.т.н., доцент. E-mail: rd@overlink.ru Личный сайт автора: http://aiv.spb.ru  

 

Содержание 

Обсудить в форуме...>>>>

 

Каталог

Реклама


Rambler's Top100 Rambler's Top100

© 2002-2012, DIWAXX.RU. Дизайн Freeline Studio. Хостинг http://www.mtw.ru. Вопросы, пожелания, предложения: admin@diwaxx.ru