Пособие по взлому или так не стоит ставить пароли… - Статьи - Каталог статей - Интернет-бизнес
Интернет-бизнес

Главная | Регистрация | Вход
Четверг, 08.12.2016, 00:19
Приветствую Вас Гость | RSS
Меню сайта
Категории раздела
Статьи [28]
БАДы VISION
Главная » Статьи » Статьи

Пособие по взлому или так не стоит ставить пароли…
 
 
 
                        Автор текста Игорь Викторович Ананченко, к.т.н., доцент. e-mail: rd@overlink.ru
                                                                                      Личный сайт автора:
http://aiv.spb.ru
   Порой владельцу вебсайта хочется дать доступ к  отдельным страница не всем посетителям, а лишь избранным. Для этого используют ту или иную систему парольной защиты, понимая, что по уровню защищенности защита защите рознь. Просматривая сайты по бизнесу и коммерции, я все чаще стал сталкиваться с защитой, сделанной с использованием жава-скрипта - быстро, просто, дешево и сердито. Да, и еще совершенно ненадежно, так как для получения пароля требуется затратить секунд 10-15. В качестве примера реализации защиты, о которой идет речь, взгляните на страницы двух сайтов "Биржа Виртуального Труда" (Вход для зарегистрированных пользователей http://virtbirzha.com/club_holl.htm) и "Как заработать в Интернете" (Библиотека http://e-cc.rhk.ru/biblioteka.html).  Обратившись к ссылке, получаете окошко с предложением ввести пароль. Если вводите неправильный пароль (или не вводите никакого), то видите сообщение - пароль не верен, после чего загружается другая страница. Существует множество азбучных истин. Информация о том, что нельзя хранить пароль в самой htm страничке вместе со скриптом его проверяющим, как раз к таким и относится, но, как говориться, не меркнет истина от повторения - повторюсь!  Рассмотрим установку защиты,  затем ее взлом. И то и другое элементарно, но для полного чайника любой написавший свою защиту программист с большой буквы, а ее взломавший - крутой хакер.
   Для установки защиты в тест html документа помещаем фрагмент кода 
<HTML>
<HEAD>
.....
<script language="JavaScript">
pass = prompt('Введите пароль:');
if (pass=='1234567') { alert('Добро пожаловать в клуб крутых хакеров!') } else { alert('Пароль неверный!'), top.location.href="exit.htm" }
</script> 
</HEAD>
<BODY.....
   Запрошенный prompt 'ом у пользователя пароль сохраняется в переменной pass, содержимое которой в условном операторе сравнивается с установленным паролем (в рассматриваемом примере 1234567). Один единственный неприятный момент, на котором собственно и строится защита, тот что в браузере (во всяком случае в Microsoft Internet Explorer стоящим у большинства пользователей) нельзя просмотреть исходный html код страницы пока не будет нажата кнопка, предлагаемая prompt 'ом, а после того как она была нажата смотреть текст страницы в html коде бесполезно, так как для рассматриваемого случая (при неверном пароле) будет выполнен переход к странице exit.htm. Для просмотра "хитрых" страниц я использую программу собственной разработки, но в данном случае проблема успешно решается и без нее с помощью все того же Microsoft Internet Explorer. Пускай страница index.htm содержит ссылку ведущую на страницу a.htm. При переходе по ссылке получаем по лбу окошком, требующем ввести пароль. Но мы туда просто так не пойдем не узнав предварительно пароль. Загрузив страницу index.htm подводим курсор мышки к ссылке на документ а.htm  и нажимаем ПРАВУЮ клавишу мыши. В появившемся окне выбираем пункт "сохранить объект как" и сохраняем содержимое файла а.htm на диске под именем а.txt. Затем открываем сохраненный файл в блокноте, смотрим пароль и, введя его в окне браузера, получаем доступ к закрытой странице. Вот и все! Быстро, просто, элементарно - таковы характеристики, как способа установки защиты, так и способа ее обхода.
 
Категория: Статьи | Добавил: TinMan (11.08.2009)
Просмотров: 842 | Рейтинг: 0.0/0 |
Всего комментариев: 0
Форма входа

WMR-бонус на свой кошелек!

WMR-бонус на свой кошелек!
Web-IP.ru - Система Активной Рекламы WMmail.ru - сервис почтовых рассылок

Tin Man © 2016 | Бесплатный конструктор сайтов - uCoz