<tulkas> cette classe seront pr�sent�es par Urthogie aujourd'hui, profitez-en!
<tulkas> pour permettre un nettoyage journal note les modes Nm + sera mis en
<tulkas> cela signifie que vous ne serez pas en mesure de changer votre pseudo ou de parler au cours de la classe
<tulkas> si, � tout moment au cours de la pr�sentation vous avez une question, tapez: / msg # questions <votre question here>
<tulkas> prendre Urthogie: D
* Tulkas d�finit le mode: + N
<Urthogie> Ok
<Urthogie> Je commencer?
<Urthogie> Tulkas?
<tulkas> oui, allez-y
<Urthogie> Ok
<Urthogie> C'est FORMVULN 101
<Urthogie> Tout d'abord, la forme des vuln�rabilit�s:
<Urthogie> Plut�t
<Urthogie> Premi�re est la forme des balises
<Urthogie> <form> - Un formulaire. tous d'un formulaire est <form> Entre et </ form>
<Urthogie> <form Method="post ou get"> m�thode pour l'envoi de formulaire
<Urthogie> <Form action = "/ cgi-bin/submit-form, http://website.com/cgi-bin/submit-form, action.php, action.cgi, mailto: mail@mail.com? Objet sujet = ">-ce que de l'envoyer �, que ce soit par courriel, ou un script
<Urthogie> L'action est essentiellement l� o� l'entr�e est envoy� �
<Urthogie> Comme un script
<Urthogie> Ou un e-mail
<Urthogie> Puis theres enctype
<Urthogie> <form Enctype="text/html, etc">-le type de donn�es et envoie le formulaire est pr�sent� dans
<Urthogie> Son tout simplement le type de donn�es qui est envoy�. sorta comme t�tes.
<Urthogie> Une chose � retenir est que pour un formulaire pour �tre fonctionnel, vous ned une action balise secondaire
<Urthogie> G�n�ralement, vous aurez �galement besoin de la m�thode = ""
<Urthogie> L'entr�e que l'utilisateur envoie est stock�e dans <input> et quelques autres types de champs
<Urthogie> <input> N'a pas besoin d'�tre termin�e
<Urthogie> Type = "" est une partie n�cessaire de <input>
<Urthogie> Il d�cide de ce type d'entr�e le tag montre
<Urthogie> Les valeurs possibles sont de type:
<Urthogie> Cach�, texte, mot de passe, checkbox, radio, de pr�senter, � z�ro, le bouton, l'image et le fichier
<Urthogie> Ok
<Urthogie> Nous avons une question
<Urthogie> <ezz3x> Si vous faisiez une page XHTML complient voulez-vous que de mettre fin � la <input> tag?
<Urthogie> Je ne sais pas beaucoup sur XHTML et XML, mais je devine qu'elle serait comme la <br /> tag. Je pense que vous le mettre dans le tag.
<Urthogie> Encore une fois, je ne sais pas beaucoup sur les rouages du xml / xhtml, vous devez donc v�rifier w3.org pour une r�ponse plus authorotative.
<Urthogie> Retour � des formes de <input> <Dont inqui�tude vient bient�t les gars de la vuln�rabilit� :)>
<Urthogie> Cach�e n'est pas per�ue par le client
<Urthogie> Nous allons faire face � ce type de bien dans cette classe.
<Urthogie> Balises de type cach� ressembler <input type="hidden">
<Urthogie> Si je dis une balise a un certain type, ce qui signifie qu'il a pour le param�tre type = "" partie de la <input> tag
<Urthogie> Texte d'une ligne d'espace o� l'utilisateur entre du texte
<Urthogie> C'est plut�t l'auto-explanitory. tags du type d'affichage de texte d'un bar pour l'utilisateur, tels que caract�res, chiffres, et ils peuvent � tout autre type de gras avec leurs petits doigts.
<Urthogie> Ce mot de passe est le m�me que le type = "text", sauf pour le type = "password" rend si les lettres sont tap�es � l'�cran ou des ast�risques dans les milieux
<Urthogie> Noter que cette doesnt signifie type = "password" est plus s�re que tout type = "text".
<Urthogie> Il emp�che seulement contre les regarder par-dessus l'�paule de protection
<Urthogie> Case auto-pretty explanitory
<Urthogie> Une bo�te, le client peut v�rifier et unchceck
<Urthogie> Question
<Urthogie> <n3cro> Comment faites-vous faire �voluer entre les cercles et les ast�risques
<Urthogie> Bien chaque navigateur a ses propres valeurs par d�faut.
<Urthogie> Acc�der � une page avec un mot de passe et tapez et voir ce qu'elle montre
Toutefois <Urthogie>
<Urthogie> Je pense, avec certains ajustements css, vous pouvez d�finir le type d'�toiles, ou les milieux
<Urthogie> W3.org est une fois de plus un excellent endroit pour css information
<Urthogie> Bien
Je <Urthogie> semblent avoir �t� corrig�es
<Urthogie> Vous ne le changer
<Urthogie> Oh bien, il ne d�tient pas de formulaire de s�curit� portant
<Urthogie> Pr�senter de soumettre le formulaire
<Urthogie> Cette affiche un bouton de soumission, qui est tenu de transmettre le formulaire � l'action = "" dans la balise <form>
<Urthogie>-Un bouton de r�initialisation pour effacer le formulaire
<Urthogie> Type = "button"
<Urthogie> Bouton est g�n�ralement utilis� avec le javascript. nous ne pourrons pas traiter avec lui en tant que notre objectif est html formes.
<Urthogie> Qui ne veut pas dire que si elle ne peuvent �tre utilis�s pour d'autres trucs
<Urthogie> L'image d'une image comme un bouton, pas utile pour cette classe. essentiellement graphique chose
<Urthogie> <input Type="file">
<Urthogie> Le dernier type que nous allons �tudier est le type de fichier. cela a �t� r�cemment mis en �uvre en html
<Urthogie> Si vous voulez en savoir plus sur le contr�le de la rfc � rfceditor.org
<Urthogie> M�me si elle en conna�t certains vulns inh�rente de sa propre, nous ne serons pas en discuter.
<Urthogie> Ok
<Urthogie> Nous faire avec le type
<Urthogie> Peu plus de choses � apprendre sur les formes que suchs ...
<Urthogie> Nom
<Urthogie> <input Name="thename"> \
<Urthogie> Un nom repr�sente la mani�re dont un script client interpr�te fourni entr�e ou la fa�on d'entr�e est indiqu� dans un courriel.
<Urthogie> Par exemple, il peut arriver dans un e-mail �:
<Urthogie> Thename: le nom, ils mettent po
<Urthogie> Si elle est fond�e sur l'exemple ci-dessus
<Urthogie> Nom ne doit pas �tre confondu avec la valeur
<Urthogie> Par exemple si vous avez eu:
<Urthogie> <input Type="text" name="thename">
<Urthogie> Ce qu'ils ont mis dans la barre d'entr�e serait la valeur
<Urthogie> Vous pouvez donner n'importe quel type = "" a name = "" Pour autant que je sache
<Urthogie> Vous pouvez �galement sp�cifier une valeur
<Urthogie> Avec value = "" dans la balise input
<Urthogie> Si vous sp�cifiez une valeur pour un type = "text", ce sera le texte dans la barre de texte lors de chargement de la page
<Urthogie> Si vous d�finissez une valeur � un bouton de r�initialisation ou de pr�senter, ce sera le texte sur le bouton
<Urthogie> Noter que si le nom est pass� au script, mais ne peut pas �tre montr� � l'utilisateur, la valeur est pass�e � l'�criture, mais peut parfois �tre d�montr� � l'utilisateur
<Urthogie> Penser � un nom de type bobbed pour une m�taphore
<Urthogie> Bob est de type type
<Urthogie> Plut�t
<Urthogie> Nom du gars
<Urthogie> Ugh
<Urthogie> Moi-m�me la confusion
<Urthogie> Son nom est le nom du type et de la valeur de nom est bob
<Urthogie> Ou nom de nom, plut�t
Bob <Urthogie> oublier et laisse passer:)
<Urthogie> Il y aura une question de rupture, mais bient�t, n'h�sitez pas � demander � tout moment
<Urthogie> <input Size="">
<Urthogie> La taille ne s'applique pas � des champs masqu�s, les radios, et les cases � cocher
<Urthogie> Ce que la taille ne fait que modifier la taille d'affichage d'un champ de saisie
<Urthogie> La taille isnt combien de caract�res, ils peuvent mettre en
<Urthogie> Si l'on met en theyll plus g�n�ralement �tre en mesure de faire d�filer
<Urthogie> Nous sommes presque fini avec les tags de mani�re � y tenir des
<Urthogie> <input Maxlenth="23">
Thats <Urthogie> juste un exemple ci-dessus par la voie
<Urthogie> Maxlength nombre de caract�res est de savoir comment un client peut mettre dans un champ
<Urthogie> Sa habituellement utilis� avec un champ cach�
<Urthogie> Ok
<Urthogie> Nous faire avec les balises
<Urthogie> Woo
<Urthogie> Questions
<Urthogie> Avant de passer � vulns
<tulkas> si vous avez des questions, il suffit de taper: / msg # questions <votre question here>
<Urthogie> Pas de questions?
<Urthogie> Puis ok
<Urthogie> D�sormais son temps � la partie la plus agr�able
<Urthogie> Vuln�rabilit�s
<Urthogie> Vous serez en mesure de deviner la vuln�rabilit�
<Urthogie> Vous pourrez voir le html et le script PHP <which mal � expliquer et � partir de ce you> youll deviner la vuln dans le script
<Urthogie> Heres html
<Urthogie> URL: dumbshit.com / form.html
<Urthogie> <body>
<Urthogie> <form Action="dumbshit.php" method="post">
<Urthogie> USERNAME: <input type="text" width="20" name="username" maxlength="20"> <br>
<Urthogie> MOT DE PASSE: <input type="password" width="20" name="password" maxlength="20"> <br>
<Urthogie> </ Form>
<Urthogie> </ Body>
<Urthogie> Mal de vous donner une seconde � dig�rer que
<Urthogie> Ok
<Urthogie> Voici le script
<Urthogie> RL: dumbshit.com / dumbshit.php
<Urthogie> <? Php
<Urthogie> Username = $ HTTP_POST_VARS [ 'username'];
<Urthogie> Password = $ HTTP_POST_VARS [ 'password'];
<Urthogie> \ \ � court de noms de variables affich�es
<Urthogie> Si <$ username! = "Bob">
<Urthogie> (
<Urthogie> Echo < 'mauvais'>;
<Urthogie> (
<Urthogie> Si <$ mot de passe! = "Bobspass">
<Urthogie> (
<Urthogie> Echo < 'mauvais'>;
<Urthogie> (
<Urthogie> Autre
<Urthogie> (
<Urthogie> Echo < 'connect�'>;
<Urthogie> $ HTTP_SESSION_VARS [ 'utilisateur valide'] = $ username;
<Urthogie> \ \ D�finit le nom d'utilisateur comme une variable de session dans ce script, qui serait utilis� pour identifier une personne comme un utilisateur valide
<Urthogie>)
<Urthogie>>
<Urthogie> Avant de vous expliquer le lemme guess php
<Urthogie>-Vous attend � la fin de lecture
<Urthogie> Ok
<Urthogie> Username = $ HTTP_POST_VARS [ 'username'];
<Urthogie> Password = $ HTTP_POST_VARS [ 'password'];
Php <Urthogie> est envoy� ces variables, comme vous pouvez le voir dans le html
<Urthogie> Cette partie du script est de mettre simplement d�tach� d'entr�e en court de noms de variables pour les utiliser plus tard dans le script
<Urthogie> Si <$ username! = "Bob">
<Urthogie> Partie affirme que si le nom d'utilisateur ne correspond pas � bob
<Urthogie> Alors ...
<Urthogie> (
<Urthogie> Echo < 'mauvais'>;
<Urthogie> (
<Urthogie> �cho aux clients qu'ils ont tort
<Urthogie> Si <$ mot de passe! = "Bobspass">
<Urthogie> (
<Urthogie> Echo < 'mauvais'>;
<Urthogie> (
<Urthogie> Si le mot de passe ne marche pas �gal bobspass
<Urthogie> Qui est le mot de passe
<Urthogie> "Bobspass" est le mot de passe, "bob" est le nom d'utilisateur ici
<Urthogie> Si le mot de passe ne marche pas bobspass �galit�, alors le client � l'�cho qu'ils ont tort
<Urthogie> Autre
<Urthogie> Autrement, cela signifie
<Urthogie> Si leur nom d'utilisateur est bob et leurs laissez-passer est bobspass, puis proc�dez comme suit:
<Urthogie> (
<Urthogie> Echo < 'connect�'>;
<Urthogie> $ HTTP_SESSION_VARS [ 'utilisateur valide'] = $ username;
<Urthogie> \ \ D�finit le nom d'utilisateur comme une variable de session dans ce script, qui serait utilis� pour identifier une personne comme un utilisateur valide
<Urthogie>)
<Urthogie> Comme vous pouvez le voir � partir de l'observation, il d�finit le nom de l'utilisateur comme une variable de session, alias, ils sont enregistr�s dans
<Urthogie> Maintenant kiddies
<Urthogie> Comment voulez-vous exploiter ce script
<Urthogie> Devine � envoyer vos questions
<Urthogie> Une chose � noter est que la vraie vie attaquant wouldnt voir le php
<Urthogie> Vous avez de la chance:)
<Urthogie> Cependant l'attaquant serait sans doute la figure de toute fa�on � cette vuln
<Urthogie> Souvenir
<Urthogie> Vous ne pouvez modifier le code html
<Urthogie> Ses clients du c�t� du client une partie de ce script
Ive <Urthogie> re�u une proposition � ce jour et il doesnt semblent �tre correct
<Urthogie> Pas deviner
<Urthogie> Son bien si vous deviner tort ou � droite
<Urthogie> Afin que je puisse l'expliquer mieux
<Urthogie> Nous avons un gagnant
<Urthogie> <TormentedDZz> Pourriez-vous modifier le maximum de longueur de message et d'envoyer un nombre anormalement long col et de d�passement de la m�moire tampon
<Urthogie> Correcte
<Urthogie> Voici une description
<Urthogie> L'exploit:
<Urthogie> Il s'agit d'un tr�s fr�quent et tr�s grave vuln�rabilit�. L'attaquant malveillant de manipuler les pauvres de codage comme ceci:
Tout d'abord, ils <Urthogie> permettrait de sauver la page html sur son ordinateur et l'ouvrir dans un �diteur html comme notepad ou emacs ou quoi que ce soit.
<Urthogie> Puis ils changer la forme des mesures pour dumbshit.com / dumbshit.php.
<Urthogie> Ils � theyre que, parce que faire de leur ordinateur
<Urthogie> Pas dumbshit.com, ils ont donc d'ajouter cette clause
Suivant <Urthogie> ils changer le maxlength <s> � une 100000. Apr�s cela, le client se mettre � nouveau le fichier html
<Urthogie> Enfin, le client ouvre le fichier html et le coller dans le maximum <100000> nombre de caract�res.
<Urthogie> L'effet:
=- -= Partie Eve <user@cuteandcuddly.com> <22 Utilisateurs>
<Urthogie> Cela aurait plus de chances de r�aliser un d�ni de service sur le serveur ex�cutant le site.
<Urthogie> Si non, serait 10000000
<Urthogie> D'autre part, il peut effectuer un d�bordement de tampon, donnant l'malveillants client l'acc�s � une page <especially membres uniquement dans cette horrible code, �crite o� la valeur par d�faut est connect� in>.
<Urthogie> Cependant, pour travailler comme un d�passement de m�moire tampon, le client aurait plus que probablement � mettre en une v�ritable nom d'utilisateur, puis de mettre en grande quantit� sur le mot de passe.
<Urthogie> Note: Chaque fois qu'un client change le html sur leur ordinateur, ils ont toujours de mettre le site Web avant l'action, car ils ne sont pas le serveur.
<Urthogie> Pourquoi �a marche:
Ce script <Urthogie> doesnt assainir sa contribution. Il va continuer � regarder un mot de passe ou nom d'utilisateur � sa propre tombe.
<Urthogie> Pire encore, la valeur par d�faut est statement> <The autre pour le script de les fixer comme un utilisateur valide.
<Urthogie> Ok, nous sommes � la premi�re dun vuln
<Urthogie> Des questions?
<Urthogie> Et, si oui, faire des em rapide:)
<tulkas> si vous avez des questions, il suffit de taper: / msg # questions <votre question here>
<Urthogie> <Shyft> Comment un d�passement de donner acc�s � quelque chose u u shouldnt se voir?
<Urthogie> Bonne question
<Urthogie> Bien
<Urthogie> Ce script de connexion donne acc�s � une page d'un utilisateur qui se connecte en
<Urthogie> Maintenant si le script est surcharg�, il ira � sa valeur par d�faut et de donner acc�s non souhait�s
<Urthogie> Ok
<Urthogie> Im allons passer � la prochaine vuln
<Urthogie> URL: dumbshit.com / dumbshit.html
<Urthogie> <head>
<Urthogie> <script Language="JavaScript" src="poorcoder.js">
<Urthogie> </ Head>
<Urthogie> <body>
<Urthogie> <form Name=form method="post" action="script.php">
<Urthogie> <input Type=text name="first" size="20"> Pr�nom <BR>
<Urthogie> <input Type="hidden" value="r_first">
<Urthogie> <input Type=text name="last" size="20"> Nom <BR>
<Urthogie> <input Type="hidden" value="r_last">
<Urthogie> <input Type=text name="email" size="20"> E-Mail <BR>
<Urthogie> <input Type="hidden" value="r_email">
<Urthogie> <Input type = button value = "Envoyer la demande" onclick = "v�rifier <>;">
<Urthogie> </ Form>
<Urthogie> </ Body>
<Urthogie> La <br> 's ne sont que des balises qui indiquent le html pour cr�er une nouvelle ligne, comme la touche ENTER
<Urthogie> Vous remarquerez ce script utilise javascript pour la v�rification
<Urthogie> Je ne vais pas la peine de montrer le php pour celui-ci. La seule diff�rence entre ce sc�nario et le dernier, c'est qu'il v�rifie les champs masqu�s qui ont �t� envoy�s � celui-ci et s'il n'y a aucune.
<Urthogie> Ok
<Urthogie> Des questions
<Urthogie> I mean
<tulkas> si vous avez des questions, il suffit de taper: / msg # questions <votre question here>
<Urthogie> Devine
<Urthogie> Suppositions et des questions
<tulkas> rien
<tulkas>:)
<Urthogie> Ce qu'il a dit oui
<Urthogie> Et si vous avez em type aussi rapide que vous pouvez comme nous sommes sur une date limite ici:)
<Urthogie> Nous avons eu une mauvaise r�ponse � ce jour
<Urthogie> Tort une fois de plus
<Urthogie> Une chose � noter ici
<Urthogie> Est que le php v�rifie si vous avez supprim� le v�rifier <>
<Urthogie> Si vous all� l�-bas, sans passer le champs de v�rifier
<Urthogie> It doesnt like you
<Urthogie> 15 secondes de plus � dire i yall
<Urthogie> Ok
<Urthogie> Vous perdre
<Urthogie> Ici, il est
<Urthogie> L'exploit:
<Urthogie> Tout d'abord, le client malveillant Avis trois choses. Le onclick = "javascript v�rifier la <>;", dans la t�te, et les champs masqu�s avec r_ avant le champs de saisie de leur proc�dure.
<Urthogie> Il conna�t les valeurs dont seulement pop de l'air
<Urthogie> Ils doivent �tre r�f�renc�s dans le js
<Urthogie> L'. Js est htaccessed par la voie
<Urthogie> Si l'attaquant cant vue de sa source
<Urthogie> Lorsque le client clique malveillante de pr�senter quelque chose sans entrer dans les champs de saisie de texte, il / elle voit une bo�te de popup javascript qui leur dit de soumettre les informations.
<Urthogie> Mais le client ne veut pas.
<Urthogie> Comme toujours, le client enregistre le code html � leur bureau, et �dite le site Internet avant l'action. Ils commencent par essayer de supprimer la balise de script de la t�te. Cela ne fonctionne pas, ni ne se d�barrasser de la onclick = "".
<Urthogie> Enfin, Monsieur / Madame le Mal est une id�e. Ils supprimer les champs masqu�s.
<Urthogie> Il semble que les m�chants ne gagnent de nouveau et de leur r�v�ler toute information sur le site lors de l'obtention de ce qu'ils veulent.
<Urthogie> L'effet:
<Urthogie> Cette vuln�rabilit� est pire qu'elle ne para�t. Un pirate malveillant pourrait �viter d'entrer un mot de passe ou num�ro de carte de cr�dit.
E <Urthogie> arriver � quelque chose ou quelque chose qu'ils ne sont pas cens� le faire.
L'exploit de <Urthogie> cours pourrait aller encore plus loin. Ils peuvent utiliser la m�thode pr�c�dente en vue de commettre un d�ni de service ou de d�passement de tampon, comme le javascript proabbly aussi v�rifi� domaine longueurs.
<Urthogie> Pourquoi �a marche:
<Urthogie> M�me que le client veut croire ses champs masqu�s, il fera confiance c'est du JavaScript.
Les champs masqu�s <Urthogie> ici �tait possible de manipuler, car le webmaster a voulu les laisser l� pour lui-m�me � modifier.
<Urthogie> Il a �t� un moyen facile pour lui de valider les donn�es, sans que tous horriblement d�pendance c�t� serveur s�curis�
<Urthogie> Ok
<Urthogie> Exploiter une plus � gauche
Ou plut�t <Urthogie> vuln
<Urthogie> Des questions avant de continuer
<Urthogie>-Rouleau-tambour tulkas ...
<tulkas> si vous avez des questions, il suffit de taper: / msg # questions <votre question here>
<Urthogie> D�p�chez-vous des questions si vous avez obtenu em
<Urthogie> K
<Urthogie> Pas de questions
<Urthogie> URL: dumbshit.com/1.html
<Urthogie> <body>
<Urthogie> <form Action="2.php" method="post">
<Urthogie> <input Type="hidden" name="usertype" value="g">
<Urthogie> Quel est votre code d'entr�e? <input Type="text" width="20" name="code">
<Urthogie> </ Form>
Thats <Urthogie> html
<Urthogie> Le script <php> est:
<Urthogie> URL: dumbshit.com/2.php
<Urthogie> <? Php
<Urthogie> D'utilisateur $ = $ HTTP_POST_VARS [ 'd'utilisateur'];
<Urthogie> $ Code = $ HTTP_POST_VARS [ 'code'];
<Urthogie> Si <$ code = "232abc">
<Urthogie> (
<Urthogie> Si <strstr <$ d'utilisateur, "g">>
<Urthogie> (
<Urthogie> $ HTTP_SESSION_VARS [ 'guest'] = $ code;
<Urthogie> Echo < 'maintenant identifi� en tant que guest'>;
<Urthogie>)
<Urthogie> Si <strstr <$ d'utilisateur, "a">>
<Urthogie> (
<Urthogie> $ HTTP_SESSION_VARS [ 'admin'] = $ code;
<Urthogie> Echo < 'maintenant identifi� en tant que admin'>;
<Urthogie>)
<Urthogie> Autre
<Urthogie> (
<Urthogie> Echo < 'S'il vous pla�t revenir en arri�re et essayez � nouveau. ">;
<Urthogie>)
<Urthogie>)
<Urthogie> Autre
<Urthogie> (
<Urthogie> Echo < "Vous n'avez pas entrer un code d'entr�e. S'il vous pla�t revenir en arri�re et essayez � nouveau. ">;
<Urthogie>)
<Urthogie>>
<Urthogie> Ignorer les bo�tes noires s'il vous pla�t
<Urthogie> Maintenant
<Urthogie> Quelques choses que vous devez savoir sur le php et l'utilisateur
<Urthogie> Pour r�soudre ce
<Urthogie> Strstr <>
<Urthogie> Cette fonction prend deux param�tre
<Urthogie> � la recherche dans ce
<Urthogie> Et ce � la recherche de
<Urthogie> Comme aiguille, botte de foin
<Urthogie> Si elle constate, elle retourne vrai si la d�claration, et les choses entre les parenth�ses est ex�cut�e
<Urthogie> <TormentedDZz> Enregistrer la page sur le disque dur et de changer le g � un admin pour privs
<Urthogie> C'est essentiellement la r�ponse
Toutefois <Urthogie>
<Urthogie> C'est supposer qu'ils connaissent le code
<Urthogie> Permet de dire qu'ils ne
<Urthogie> Si les admins valeur 2890382 et 1212123 a �t� l'invit�
<Urthogie> Comment seraient-ils obtenir en tant que admin?
<Urthogie> Didnt savoir si elles l'admin du champ cach� id valeur
<Urthogie> Dans ce cas, la tourmente a eu raison
<Urthogie> Mais que si elles didnt savent ce qu'il faut changer le champ �
<Urthogie> Quels seraient-ils faire?
<Urthogie> Envoyer vos suppositions � ...
<Urthogie>-Rouleau-tambour
<tulkas> si vous avez des questions, il suffit de taper: / msg # questions <votre question here>
<Urthogie> <RJ45> Soit la force ou essayer d'obtenir la source <full>
<Urthogie> Ce n'est pas correct
Im <Urthogie> mais il montre en tout cas
<Urthogie> Parce que l'une de ces travaux serait
Couldnt <Urthogie> mais vous les faire
Whats <Urthogie> la fra�cheur fa�on de le faire
<Urthogie> Im gonna tell you:
<Urthogie> Mettre dans une immense cha�ne de num�ros g�n�r�s par
<Urthogie> Vous dans l'un pop
<Urthogie> <Non Que vous devriez �tre commiting la criminalit� par la mani�re dont kids>
<Urthogie> Vous g�n�rez une liste d'une s�rie de chiffres
<Urthogie> Et l'envoyer au script
<Urthogie> Elle finit par trouver votre num�ro
<Urthogie> L'effet:
<Urthogie> Heureusement, cette vuln�rabilit� n'est pas si commun, et quand elle existe, elle n'est habituellement pas quelque chose comme ag
<Urthogie> Tout simplement parce que votre champ cach� est d'une valeur de sd9702, ne signifie pas que le pirate malveillant pu trouver un motif.
<Urthogie> Ften champs masqu�s ont des valeurs comme le g232, la valeur allant jusqu'� une heure par utilisateur connect� sur le site. Ceux-ci sont extr�mement faciles � crack dans les yeux d'un attaquant malveillant.
<Urthogie> Si l'une quelconque des principaux sites de m�canismes de connexion s'appuyer sur des champs masqu�s pr�visibles valeurs, elles sont r�ties. Un attaquant auront acc�s � n'importe quelle page, il / elle le d�sire. Il peut aller jusqu'� un site compromis, si il / elle est comme un super-utilisateur.
<Urthogie> Demander un code d'entr�e n'est pas si rare pour moi �tonnant de ne pas citer ici. Beaucoup de sites l'utilisent pour obtenir plus de visites dans des magazines ou des portails, en offrant des rabais ou des promotions. Parfois, ils ont une version d'administration de la page, comme dans le cas pr�sent.
<Urthogie> Pourquoi �a marche:
<Urthogie> Ce script utilise le m�me code d'entr�e pour les admin et guest, en s'appuyant sur html pour la s�curit�. Ne pas le faire � la maison.
<Urthogie> Thats it. J'esp�re que vous tous b�n�fici� de la classe. Envoyez vos questions au final ....
<Urthogie> Message ou vous pouvez me les
<Urthogie> Les deux sens
<tulkas> si vous avez des questions, il suffit de taper: / msg # questions <votre question here>
<tulkas> vous remercie tous pour suivre les cours aujourd'hui
<tulkas> la classe est venu � une fin
<tulkas> n'h�sitez pas � rester � poser d'autres questions ou tout simplement pendre;)
* Tulkas fixe mode:-mN
<tulkas> bonne Urthogie classe: D
<Urthogie> Vous remercie
<n3cro> Good Job
|
|
