.dsy:it. Pages (2): [1] 2 »
Show 150 posts per page

.dsy:it. (http://www.dsy.it/forum/)
- Tech (http://www.dsy.it/forum/forumdisplay.php?forumid=189)
-- [Script] Login (http://www.dsy.it/forum/showthread.php?threadid=22497)

Posted by c3ru on 04-11-2005 17:08:

[Script] Login

un mio amico mi ha passato tempo fa questo script che mi ha un attimo incuriosito, probabilmente per la mia abissale ignoranza nella programmazione web

dunque, la pagina prende login e pass con valori T1 e T2 e cliccando sul bottone di login si chiama questa funzione

function pass()
{
alpha= document.pwd.T1.value
beta= document.pwd.T2.value

location.href= alpha + "/" + beta + ".htm"

}

la mia curiosità è questa: il controllo su login e pass è verificato da qualche parte oppure esiste una pagina con nome www.server.it/pass/user.htm ?

altra questione: il mio amico (ora sparito) mi ha detto che una volta per errore il sito permetteva l'accesso con qualsiasi user e pass inserita a caso. è possibile che sia un errore di questo script o che si tratti di un vecchio script sostituito con questo?

__________________
Nessuno è troppo giovane per avere flashback dal Vietnam

Ogni generazione ha l'eroe che si merita

Posted by ripe on 05-11-2005 09:25:

Non capisco assolutamente nulla della tua richiesta! :D

__________________
«And if you ever smell christian blood up in the mountains, then get your axe and chop them down!»

Posted by c3ru on 05-11-2005 10:25:

ehm, forse mi sono spiegato un po' male :P

il controllo dell'autenticità di user e pass come viene fatto?

__________________
Nessuno è troppo giovane per avere flashback dal Vietnam

Ogni generazione ha l'eroe che si merita

Posted by 0m4r on 05-11-2005 10:38:

dallo script che hia postato tu non viene fatto assolutamente...
in pratica quello che fa quello script è prendere i valori da due form chimate T1 e T2 per redirigerti ad una pagina che si chiama "valoreT1/valoreT2.htm"... nessun controllo sui valori di T1 e T2...

__________________
http://www.twitter.com/0m4r

Posted by c3ru on 05-11-2005 11:55:

Originally posted by 0m4r
dallo script che hia postato tu non viene fatto assolutamente...
in pratica quello che fa quello script è prendere i valori da due form chimate T1 e T2 per redirigerti ad una pagina che si chiama "valoreT1/valoreT2.htm"... nessun controllo sui valori di T1 e T2...


ok, è quello che pensavo, anche se mi sembra una gran stronzata come form di login, in teoria basterebbe fare un list delle pagine per sapere user e pass di tutti gli utenti vero?

__________________
Nessuno è troppo giovane per avere flashback dal Vietnam

Ogni generazione ha l'eroe che si merita

Posted by 0m4r on 05-11-2005 12:05:

bhe, in teoria si, ma non è poi molto facile ottenere un list dei file da un server web (oviamente se questo è configurato come si deve) ed inoltre credo che non sia nemmeno molto comoda la gestione degli utenti

__________________
http://www.twitter.com/0m4r

Posted by ripe on 05-11-2005 13:05:

Non è che magari usa un meccanismo di url rewriting lato server, che estrae dall'indirizzo nome e pass per validare il login? Anche questo sarebbe un modo poco intelligente, ma almeno avrebbe un minimo di senso...

__________________
«And if you ever smell christian blood up in the mountains, then get your axe and chop them down!»

Posted by c3ru on 05-11-2005 13:14:

Originally posted by ripe
Non è che magari usa un meccanismo di url rewriting lato server, che estrae dall'indirizzo nome e pass per validare il login? Anche questo sarebbe un modo poco intelligente, ma almeno avrebbe un minimo di senso...



cioè?

__________________
Nessuno è troppo giovane per avere flashback dal Vietnam

Ogni generazione ha l'eroe che si merita

Posted by ripe on 05-11-2005 13:47:

Cioè via Asp.NET (per esempio) riceve l'url della pagina, lo processa estraendo il nome e la pass, poi controlla la validità dei dati e in caso positivo continua a restituire la pagina altrimenti redirige ad un'ipotetica pagina di errore...

E' solo un'idea, niente di più...

__________________
«And if you ever smell christian blood up in the mountains, then get your axe and chop them down!»

Posted by c3ru on 08-11-2005 22:44:

Originally posted by ripe
Cioè via Asp.NET (per esempio) riceve l'url della pagina, lo processa estraendo il nome e la pass, poi controlla la validità dei dati e in caso positivo continua a restituire la pagina altrimenti redirige ad un'ipotetica pagina di errore...

E' solo un'idea, niente di più...


mi sa di no, l'ho provato in locale e funziona, non controlla nulla se non l'esistenza della pagina....probabilmente è il metodo più stupido che io abbia mai visto....

__________________
Nessuno è troppo giovane per avere flashback dal Vietnam

Ogni generazione ha l'eroe che si merita

Posted by ripe on 08-11-2005 22:56:

Concordo.

__________________
«And if you ever smell christian blood up in the mountains, then get your axe and chop them down!»

Posted by 0m4r on 09-11-2005 10:02:

concordo anche io...
cmq se ti serve una mano, a meno che tu abbia gia risolto, fai pure un fischio

__________________
http://www.twitter.com/0m4r

Posted by fabpicca on 09-11-2005 10:59:

Re: [Script] Login

Originally posted by c3ru
un mio amico mi ha passato tempo fa questo script che mi ha un attimo incuriosito, probabilmente per la mia abissale ignoranza nella programmazione web

dunque, la pagina prende login e pass con valori T1 e T2 e cliccando sul bottone di login si chiama questa funzione

function pass()
{
alpha= document.pwd.T1.value
beta= document.pwd.T2.value

location.href= alpha + "/" + beta + ".htm"

}

la mia curiosità è questa: il controllo su login e pass è verificato da qualche parte oppure esiste una pagina con nome www.server.it/pass/user.htm ?

altra questione: il mio amico (ora sparito) mi ha detto che una volta per errore il sito permetteva l'accesso con qualsiasi user e pass inserita a caso. è possibile che sia un errore di questo script o che si tratti di un vecchio script sostituito con questo?


diciamo che è un autenticazione fatta coi fichi secchi. nel senso.
Lui ha fatto delle pagine e delle drectory del tipo:

password/username.html

e l'autenticazione sta nel fatto che se sai la password e lo username (ovvero il path), accedi alla pagina, altrimenti ti becchi un 404.

Peccato che con wget posso scaricarmi tutto l'albero del sito e sapere quali cartelle e quali file ci sono!

__________________
my website?|ubuntu linux|get Firefox|grazie Polonia |bagdad sour

"Come va che non ha le corna e le zampe di Caprone?" gli opposi. "Oh, Giuvà", mi disse il prete "adesso non si usa più.Satana è furbo". (I.Silone, Fontamara)
"Al giorno d'oggi non bisogna essere intelligenti, perchè la gente si offende" (un ubriacone)
"close your eyes / pay the price / for your paradise" (DM) "whatever you want to change/you'd better start changing it in your mind" (Transatlantic)

Posted by unidavide on 09-11-2005 19:26:

Re: Re: [Script] Login

Originally posted by fabpicca
Peccato che con wget posso scaricarmi tutto l'albero del sito e sapere quali cartelle e quali file ci sono!
ah, si ?!? e con quale magico argomento? se non c'e' nessun link alla pagina nascosta non penso proprio che tu possa trovarla

Posted by mrcnet on 09-11-2005 19:42:

Re: Re: Re: [Script] Login

Originally posted by unidavide
ah, si ?!? e con quale magico argomento? se non c'e' nessun link alla pagina nascosta non penso proprio che tu possa trovarla


con teleport e simili si riesce benissimo a vedere tutta la struttura del sito, cartelle e files, poi magari in base ai robots.txt presenti o ai vari permessi ti blocca ma a vederli come nomi si vedono.. ecco il perchè del fallimento di un login basato su questo tipo di "trucco"

__________________
www.mrcnetwork.it
All times are GMT. The time now is 17:07. Pages (2): [1] 2 »
Show all 24 posts from this thread on one page

Powered by: vBulletin Version 2.3.1
Copyright © Jelsoft Enterprises Limited 2000 - 2002.