JavaSkript zaobići!

Babysitter · December 25, 2003, 12:37pm

Ima li kakve mogućnosti , vidjeti izvorni kod jedne stranice, prije nego što se izvrši java skript za ubacivanje lozinke u njoj ?
:rogovi:

vedran · December 25, 2003, 1:25pm

wget $URL ?

kk · December 25, 2003, 1:32pm

… ili ovako

$ lynx -source http://www.linux.com/

Babysitter · December 25, 2003, 6:18pm

=D>. Ali… neke strane se daju sa ovim alatima zaobići, neke ne. Sve zavisi od spretnosti webmastera. Predpostavljam da neke strane rade sa CGI programima ili php pa se nedaju vidjeti.

vedran · December 25, 2003, 8:39pm

Ne znam, imaš li neki primjer?

kk · December 25, 2003, 9:44pm

Cak i kad se radi o client-side skriptama, ciji kod uvijek mozes vidjeti, ne znaci da ce ti to biti dovoljno da razbijes zastitu. Zamisli da na glavnoj stranici imas ovaj kod:

<form method=post>Password: <input type=password name=ugly value=""> <input type=button value=probaj onClick="location.href='./'+ugly.value+'.html'"></form>

Skriveni sadrzaj drzis u fajlu L8hj0sw20hbGW9l7xZ017saP9hkdDnwQqlD70Zz08Sx.html.

Kako bi ti na osnovu source-a glavne stranice dosao do password-a, koji vodi do skrivene stranice?

Babysitter · December 25, 2003, 11:11pm

Stvar je u tome sto sam nabavio neku knjigu o JavaSkriptu i u njoj se nalaze neki primjeri kao npr:

<HTML>
<HEAD>
<SCRIPT language="JavaScript">
var test=true;
function pruefePW(pw)
{
if(pw=="lugbih") return false;
alert("Lozinka pogresna");
return true;
}
function lade()
{
while(test)
{
test=pruefePW(prompt("Ubaci lozinku",""));
}
document.write("<H1>Dobrodosli</H1>");
}
</SCRIPT>
</HEAD>
<BODY onLoad="lade()">
</BODY>
</HTML>

Ovdje se lozinka nalazi na stranici i lako ju je pronaci. Kad bi ovako svi webmasteri programirali mogla bi se svaka strana “haknuti”.
Ima recimo i primjera gdje se otvori samo jedan dio stranice ako ubacis pogresnu lozinku ali i one se daju procitati.
Internet je pun stranica “za odrasle” koji koriste neku jaku tehniku koju nemozes otvoriti. Eh, da sad nebi ispalo da ih ja posjecujem, nemoj na navodim primjere +ministry+
Htjeo sam na svoj Homepage da postavim jednu “privatnu” stranicu koju stvarno niko nemoze procitati osim mene. Moja predpostavka je da ovi koriste neki sporedni .js fajl u kojem su lozinke. Hmm, neznam. Mozda pronadjem s vremenom rjesenje pa cu i ja da postavim tu tehniku na moj sajt i pokazem u cemu je fazon.
Ovo gore nisam bas razumio sa:
Skriveni sadrzaj drzis u fajlu L8hj0sw20hbGW9l7xZ017saP9hkdDnwQqlD70Zz08Sx.html.
Jesili to generisao ime stranice u kojoj se nalaze sve lozinke ili kako ?

kk · December 26, 2003, 12:51pm

[quote]Ovo gore nisam bas razumio sa:
Skriveni sadrzaj drzis u fajlu L8hj0sw20hbGW9l7xZ017saP9hkdDnwQqlD70Zz08Sx.html.
Jesili to generisao ime stranice u kojoj se nalaze sve lozinke ili kako ?[/quote]

Ne radi se o fajlu sa lozinkama, nego imenu privatne stranice. Skripta koju sam naveo radi samo redirekciju na tu stranu:

Dakle, ako kao password uneses xyz123, skripta ce usmjeriti tvoj browser na xyz123.html. Prema tome, da bi neko dosao do tvoje privatne stranice, kao password mora unijeti L8hj0sw20hbGW9l7xZ017saP9hkdDnwQqlD70Zz08Sx. Ako se potrudis da nigdje drugo ne linkujes na tu stranicu i da ona nigdje ne ostavlja svoj trag, mozes cak i sa ovim jednostavnim JavaScript rjesenjem biti relativno siguran. To je ako bas imas zarku zelju da koristis JavaScript. Ako nemas, onda ti je PHP ili CGI bolje rjesenje.

Babysitter · December 26, 2003, 12:57pm

Razumio sam, i najvjerovatnije da cu uzeti tu metodu.

sahbaz · December 26, 2003, 1:24pm

Uh…toliko toga oko stavljanja passworda-a za jednu stranu…
Programiranje mi nije bas jaka strana ali kad smo vec kod zastite i
drzanja nekih strana “tajnim” zasto ne iskoristiti apache za to ?
Apache ima takve mogucnosti zar ne ?
Samo jedan mali prijedlog …
Mada znam da baby voli da ceprka oko tih stvari zar ne ? :lol:

vedran · December 26, 2003, 5:11pm

Ma ne bi me začudilo da ona jednog dana osvane indeksirana u Googlu

Pa onda je dovoljno da joj daš neki URL za koji samo ti znaš i isključiš opciju za indexe direktorija jedino trebaš paziti da joj ne daš neko očigledno ime kao npr. www.mojsajt.ba/admin
Ako hoćeš pravu zaštitu, potrebno je ipak da koristiš PHP ili CGI.

[quote]Programiranje mi nije bas jaka strana ali kad smo vec kod zastite i drzanja nekih strana “tajnim” zasto ne iskoristiti apache za to ?
Apache ima takve mogucnosti zar ne ? [/quote]
Čuo sam samo da je Apache zaštita previše podložna brute-force napadima.

Babysitter · December 26, 2003, 5:47pm

Nemogu Apache koristiti jer mi je Webspace kupljen od provajdera, ma znate onako po nekoliko megabajta za mjesec za odredjenu sumu.
Čeprko bi ja kad bi bio ovdje kod mene u sobi .[quote]Ako se potrudis da nigdje drugo ne linkujes na tu stranicu i da ona nigdje ne ostavlja svoj trag, mozes cak i sa ovim jednostavnim JavaScript rjesenjem biti relativno siguran.[/quote]
Ovo je stvarno solidno rjesenje.

[quote]sključiš opciju za indexe direktorija[/quote] Da, ali ovo treba takođe raditi na webserveru na koji ja nemogu uticati !
Dok neugradim pravu zastitu zabavljajte se malo i trenirajte komandu kill
http://www.mehanovic.de/probe.html

sahbaz · December 26, 2003, 10:08pm

babysitter --> :lol:

dinol · December 31, 2003, 7:15pm

ama ne vidim ja tu svrhe nikakve…

ako neko hoće da hackne , valjda može isključiti javascript u browseru

nego

PHP