Show 150 posts per page
|
Show 150 posts per page |
.dsy:it. (http://www.dsy.it/forum/)
- Tech (http://www.dsy.it/forum/forumdisplay.php?forumid=189)
-- [Script] Login (http://www.dsy.it/forum/showthread.php?threadid=22497)
[Script] Login
un mio amico mi ha passato tempo fa questo script che mi ha un attimo incuriosito, probabilmente per la mia abissale ignoranza nella programmazione web
dunque, la pagina prende login e pass con valori T1 e T2 e cliccando sul bottone di login si chiama questa funzione
function pass()
{
alpha= document.pwd.T1.value
beta= document.pwd.T2.value
location.href= alpha + "/" + beta + ".htm"
}
la mia curiosità è questa: il controllo su login e pass è verificato da qualche parte oppure esiste una pagina con nome www.server.it/pass/user.htm ?
altra questione: il mio amico (ora sparito) mi ha detto che una volta per errore il sito permetteva l'accesso con qualsiasi user e pass inserita a caso. è possibile che sia un errore di questo script o che si tratti di un vecchio script sostituito con questo?
__________________
Nessuno è troppo giovane per avere flashback dal Vietnam
Ogni generazione ha l'eroe che si merita
Non capisco assolutamente nulla della tua richiesta! 
__________________
«And if you ever smell christian blood up in the mountains, then get your axe and chop them down!»
ehm, forse mi sono spiegato un po' male 
il controllo dell'autenticità di user e pass come viene fatto?
__________________
Nessuno è troppo giovane per avere flashback dal Vietnam
Ogni generazione ha l'eroe che si merita
dallo script che hia postato tu non viene fatto assolutamente...
in pratica quello che fa quello script è prendere i valori da due form chimate T1 e T2 per redirigerti ad una pagina che si chiama "valoreT1/valoreT2.htm"... nessun controllo sui valori di T1 e T2...
__________________
http://www.twitter.com/0m4r
Originally posted by 0m4r
dallo script che hia postato tu non viene fatto assolutamente...
in pratica quello che fa quello script è prendere i valori da due form chimate T1 e T2 per redirigerti ad una pagina che si chiama "valoreT1/valoreT2.htm"... nessun controllo sui valori di T1 e T2...
__________________
Nessuno è troppo giovane per avere flashback dal Vietnam
Ogni generazione ha l'eroe che si merita
bhe, in teoria si, ma non è poi molto facile ottenere un list dei file da un server web (oviamente se questo è configurato come si deve) ed inoltre credo che non sia nemmeno molto comoda la gestione degli utenti
__________________
http://www.twitter.com/0m4r
Non è che magari usa un meccanismo di url rewriting lato server, che estrae dall'indirizzo nome e pass per validare il login? Anche questo sarebbe un modo poco intelligente, ma almeno avrebbe un minimo di senso...
__________________
«And if you ever smell christian blood up in the mountains, then get your axe and chop them down!»
Originally posted by ripe
Non è che magari usa un meccanismo di url rewriting lato server, che estrae dall'indirizzo nome e pass per validare il login? Anche questo sarebbe un modo poco intelligente, ma almeno avrebbe un minimo di senso...
__________________
Nessuno è troppo giovane per avere flashback dal Vietnam
Ogni generazione ha l'eroe che si merita
Cioè via Asp.NET (per esempio) riceve l'url della pagina, lo processa estraendo il nome e la pass, poi controlla la validità dei dati e in caso positivo continua a restituire la pagina altrimenti redirige ad un'ipotetica pagina di errore...
E' solo un'idea, niente di più...
__________________
«And if you ever smell christian blood up in the mountains, then get your axe and chop them down!»
Originally posted by ripe
Cioè via Asp.NET (per esempio) riceve l'url della pagina, lo processa estraendo il nome e la pass, poi controlla la validità dei dati e in caso positivo continua a restituire la pagina altrimenti redirige ad un'ipotetica pagina di errore...
E' solo un'idea, niente di più...
__________________
Nessuno è troppo giovane per avere flashback dal Vietnam
Ogni generazione ha l'eroe che si merita
Concordo.
__________________
«And if you ever smell christian blood up in the mountains, then get your axe and chop them down!»
concordo anche io...
cmq se ti serve una mano, a meno che tu abbia gia risolto, fai pure un fischio
__________________
http://www.twitter.com/0m4r
Re: [Script] Login
Originally posted by c3ru
un mio amico mi ha passato tempo fa questo script che mi ha un attimo incuriosito, probabilmente per la mia abissale ignoranza nella programmazione web
dunque, la pagina prende login e pass con valori T1 e T2 e cliccando sul bottone di login si chiama questa funzione
function pass()
{
alpha= document.pwd.T1.value
beta= document.pwd.T2.value
location.href= alpha + "/" + beta + ".htm"
}
la mia curiosità è questa: il controllo su login e pass è verificato da qualche parte oppure esiste una pagina con nome www.server.it/pass/user.htm ?
altra questione: il mio amico (ora sparito) mi ha detto che una volta per errore il sito permetteva l'accesso con qualsiasi user e pass inserita a caso. è possibile che sia un errore di questo script o che si tratti di un vecchio script sostituito con questo?
__________________
my website?|ubuntu linux|get Firefox|grazie Polonia |bagdad sour
"Come va che non ha le corna e le zampe di Caprone?" gli opposi. "Oh, Giuvà", mi disse il prete "adesso non si usa più.Satana è furbo". (I.Silone, Fontamara)
"Al giorno d'oggi non bisogna essere intelligenti, perchè la gente si offende" (un ubriacone)
"close your eyes / pay the price / for your paradise" (DM) "whatever you want to change/you'd better start changing it in your mind" (Transatlantic)
Re: Re: [Script] Login
Originally posted by fabpiccaah, si ?!? e con quale magico argomento? se non c'e' nessun link alla pagina nascosta non penso proprio che tu possa trovarla
Peccato che con wget posso scaricarmi tutto l'albero del sito e sapere quali cartelle e quali file ci sono!
Re: Re: Re: [Script] Login
Originally posted by unidavide
ah, si ?!? e con quale magico argomento? se non c'e' nessun link alla pagina nascosta non penso proprio che tu possa trovarla
__________________
www.mrcnetwork.it
Originally posted by mrcnet
con teleport e simili si riesce benissimo a vedere tutta la struttura del sito, cartelle e files
__________________
~ get Debian! ~ get FreeBSD! ~ get OpenBSD! ~
dovrebbe essere tipo questo lo script:
http://www.html.it/javascript/tutorial/04/index.html
__________________
www.mrcnetwork.it
Originally posted by DeepBlue
Originally posted by mrcnet
con teleport e simili si riesce benissimo a vedere tutta la struttura del sito, cartelle e files
Ma sei sicuro? ho qualche dubbio a credere che questa cosa sia possibile dove il listing delle directory sia negato.
__________________
www.mrcnetwork.it
Re: Re: Re: Re: [Script] Login
Originally posted by mrcnetnon penso proprio, com wget si limita a parsare l'html e scaricare tutti i link che trovano. Se la pagina non e' linkata da nessuna parte non puoi di certo trovarla
con teleport e simili si riesce benissimo a vedere tutta la struttura del sito, cartelle e files, poi magari in base ai robots.txt presenti o ai vari permessi ti blocca ma a vederli come nomi si vedono.. ecco il perchè del fallimento di un login basato su questo tipo di "trucco"
io non sto parlando di wget che non ho sperimentato ancora di persona come comando.. io mi riferisco a programmi come teleport con cui più volte ho visto tranquillamente il contenuto di cartelle protette solo da un index fasullo che limitava l'accesso via browser ma faceva vedere benissimo tutti i files anche se non linkati da nessuna parte
__________________
www.mrcnetwork.it
Originally posted by mrcnetmmm, allora, molto dubbioso mi sono scaricato teleport e l'ho provato, io non sono riuscito a fare quello che dici tu, se ci riesci dimmi che impostazioni usi
io non sto parlando di wget che non ho sperimentato ancora di persona come comando.. io mi riferisco a programmi come teleport con cui più volte ho visto tranquillamente il contenuto di cartelle protette solo da un index fasullo che limitava l'accesso via browser ma faceva vedere benissimo tutti i files anche se non linkati da nessuna parte
ora non ho teleport installato uso httrack che è gratuito e non necessita di installazione, però non ho provato con questo se lo fa.. di teleport ricordo che era un opzione che ti faceva vedere il sito tipo browser ftp
__________________
www.mrcnetwork.it
Originally posted by mrcnetho provato con il project wizard a fare
ora non ho teleport installato uso httrack che è gratuito e non necessita di installazione, però non ho provato con questo se lo fa.. di teleport ricordo che era un opzione che ti faceva vedere il sito tipo browser ftp
- create a browsable copy of a website on my hard drive e
- duplicate a website including directory structure
Originally posted by c3rudipende dai punti di vista, se non hai la possibilita' di utilizzare un linguaggio lato server, e vuoi "proteggere" una pagina penso che l'unico modo "sicuro" per farlo in javascript sia proprio quello. Ovvio che in questo modo tanto vale dare direttamente il link alla pagina invece che user e pass. Probabilmente il tuo amico lo usava per simulare un login in un sito statico
mi sa di no, l'ho provato in locale e funziona, non controlla nulla se non l'esistenza della pagina....probabilmente è il metodo più stupido che io abbia mai visto....
| All times are GMT. The time now is 20:03. | Show all 24 posts from this thread on one page |
Powered by: vBulletin Version 2.3.1
Copyright © Jelsoft Enterprises Limited 2000 - 2002.