|
|
|
|
 |
| |
|
 c3ru |
| [Script] Login |
04-11-2005 17:08 |
|
 |
c3ru |
!ElaborA!
Registered: Oct 2003
Posts: 1678 (0.21 al dì)
Location: BG
Corso: Info Mag
Anno: 1°
Time Online: 35 Days, 19:30:22 [...]
Status: Offline
Edit | Report | IP: Logged |
[Script] Login
un mio amico mi ha passato tempo fa questo script che mi ha un attimo incuriosito, probabilmente per la mia abissale ignoranza nella programmazione web
dunque, la pagina prende login e pass con valori T1 e T2 e cliccando sul bottone di login si chiama questa funzione
function pass()
{
alpha= document.pwd.T1.value
beta= document.pwd.T2.value
location.href= alpha + "/" + beta + ".htm"
}
la mia curiosità è questa: il controllo su login e pass è verificato da qualche parte oppure esiste una pagina con nome www.server.it/pass/user.htm ?
altra questione: il mio amico (ora sparito) mi ha detto che una volta per errore il sito permetteva l'accesso con qualsiasi user e pass inserita a caso. è possibile che sia un errore di questo script o che si tratti di un vecchio script sostituito con questo?
__________________
Nessuno è troppo giovane per avere flashback dal Vietnam
Ogni generazione ha l'eroe che si merita
Last edited by c3ru on 05-11-2005 at 10:23
|
|
04-11-2005 17:08 |
|
|
| |
|
| ripe |
| Non capisco assolutamente nulla della tua richiest ... |
05-11-2005 09:25 |
|
|
ripe |
- up in the mountains -
Registered: Jun 2002
Posts: 9469 (1.10 al dì)
Location: Cinisellooo
Corso: TICO TICO
Anno: Primo
Time Online: 61 Days, 2:33:39 [...]
Status: Offline
Edit | Report | IP: Logged |
Non capisco assolutamente nulla della tua richiesta! 
__________________
«And if you ever smell christian blood up in the mountains, then get your axe and chop them down!»
|
|
05-11-2005 09:25 |
|
|
| |
|
| c3ru |
| ehm, forse mi sono spiegato un po' male :P
... |
05-11-2005 10:25 |
|
|
c3ru |
!ElaborA!
Registered: Oct 2003
Posts: 1678 (0.21 al dì)
Location: BG
Corso: Info Mag
Anno: 1°
Time Online: 35 Days, 19:30:22 [...]
Status: Offline
Edit | Report | IP: Logged |
ehm, forse mi sono spiegato un po' male 
il controllo dell'autenticità di user e pass come viene fatto?
__________________
Nessuno è troppo giovane per avere flashback dal Vietnam
Ogni generazione ha l'eroe che si merita
|
|
05-11-2005 10:25 |
|
|
| |
|
| 0m4r |
| dallo script che hia postato tu non viene fatto as ... |
05-11-2005 10:38 |
|
|
0m4r |
.grande:maestro.
Registered: Mar 2002
Posts: 7287 (0.84 al dì)
Location: Düsseldorf (DE)
Corso:
Anno: ESAMI FINITI
Time Online: 49 Days, 0:57:33 [...]
Status: Offline
Edit | Report | IP: Logged |
dallo script che hia postato tu non viene fatto assolutamente...
in pratica quello che fa quello script è prendere i valori da due form chimate T1 e T2 per redirigerti ad una pagina che si chiama "valoreT1/valoreT2.htm"... nessun controllo sui valori di T1 e T2...
__________________
http://www.twitter.com/0m4r
|
|
05-11-2005 10:38 |
|
|
| |
|
| c3ru |
| [QUOTE][i]Originally posted by 0m4r [/i]
... |
05-11-2005 11:55 |
|
|
c3ru |
!ElaborA!
Registered: Oct 2003
Posts: 1678 (0.21 al dì)
Location: BG
Corso: Info Mag
Anno: 1°
Time Online: 35 Days, 19:30:22 [...]
Status: Offline
Edit | Report | IP: Logged |
Originally posted by 0m4r
dallo script che hia postato tu non viene fatto assolutamente...
in pratica quello che fa quello script è prendere i valori da due form chimate T1 e T2 per redirigerti ad una pagina che si chiama "valoreT1/valoreT2.htm"... nessun controllo sui valori di T1 e T2...
ok, è quello che pensavo, anche se mi sembra una gran stronzata come form di login, in teoria basterebbe fare un list delle pagine per sapere user e pass di tutti gli utenti vero?
__________________
Nessuno è troppo giovane per avere flashback dal Vietnam
Ogni generazione ha l'eroe che si merita
|
|
05-11-2005 11:55 |
|
|
| |
|
| 0m4r |
| bhe, in teoria si, ma non è poi molto facile otte ... |
05-11-2005 12:05 |
|
|
0m4r |
.grande:maestro.
Registered: Mar 2002
Posts: 7287 (0.84 al dì)
Location: Düsseldorf (DE)
Corso:
Anno: ESAMI FINITI
Time Online: 49 Days, 0:57:33 [...]
Status: Offline
Edit | Report | IP: Logged |
bhe, in teoria si, ma non è poi molto facile ottenere un list dei file da un server web (oviamente se questo è configurato come si deve) ed inoltre credo che non sia nemmeno molto comoda la gestione degli utenti
__________________
http://www.twitter.com/0m4r
|
|
05-11-2005 12:05 |
|
|
| |
|
| ripe |
| Non è che magari usa un meccanismo di url rewriti ... |
05-11-2005 13:05 |
|
|
ripe |
- up in the mountains -
Registered: Jun 2002
Posts: 9469 (1.10 al dì)
Location: Cinisellooo
Corso: TICO TICO
Anno: Primo
Time Online: 61 Days, 2:33:39 [...]
Status: Offline
Edit | Report | IP: Logged |
Non è che magari usa un meccanismo di url rewriting lato server, che estrae dall'indirizzo nome e pass per validare il login? Anche questo sarebbe un modo poco intelligente, ma almeno avrebbe un minimo di senso...
__________________
«And if you ever smell christian blood up in the mountains, then get your axe and chop them down!»
|
|
05-11-2005 13:05 |
|
|
| |
|
| c3ru |
| [QUOTE][i]Originally posted by ripe [/i]
... |
05-11-2005 13:14 |
|
|
c3ru |
!ElaborA!
Registered: Oct 2003
Posts: 1678 (0.21 al dì)
Location: BG
Corso: Info Mag
Anno: 1°
Time Online: 35 Days, 19:30:22 [...]
Status: Offline
Edit | Report | IP: Logged |
Originally posted by ripe
Non è che magari usa un meccanismo di url rewriting lato server, che estrae dall'indirizzo nome e pass per validare il login? Anche questo sarebbe un modo poco intelligente, ma almeno avrebbe un minimo di senso...
cioè?
__________________
Nessuno è troppo giovane per avere flashback dal Vietnam
Ogni generazione ha l'eroe che si merita
|
|
05-11-2005 13:14 |
|
|
| |
|
| ripe |
| Cioè via Asp.NET (per esempio) riceve l'url della ... |
05-11-2005 13:47 |
|
|
ripe |
- up in the mountains -
Registered: Jun 2002
Posts: 9469 (1.10 al dì)
Location: Cinisellooo
Corso: TICO TICO
Anno: Primo
Time Online: 61 Days, 2:33:39 [...]
Status: Offline
Edit | Report | IP: Logged |
Cioè via Asp.NET (per esempio) riceve l'url della pagina, lo processa estraendo il nome e la pass, poi controlla la validità dei dati e in caso positivo continua a restituire la pagina altrimenti redirige ad un'ipotetica pagina di errore...
E' solo un'idea, niente di più...
__________________
«And if you ever smell christian blood up in the mountains, then get your axe and chop them down!»
|
|
05-11-2005 13:47 |
|
|
| |
|
| c3ru |
| [QUOTE][i]Originally posted by ripe [/i]
... |
08-11-2005 22:44 |
|
|
c3ru |
!ElaborA!
Registered: Oct 2003
Posts: 1678 (0.21 al dì)
Location: BG
Corso: Info Mag
Anno: 1°
Time Online: 35 Days, 19:30:22 [...]
Status: Offline
Edit | Report | IP: Logged |
Originally posted by ripe
Cioè via Asp.NET (per esempio) riceve l'url della pagina, lo processa estraendo il nome e la pass, poi controlla la validità dei dati e in caso positivo continua a restituire la pagina altrimenti redirige ad un'ipotetica pagina di errore...
E' solo un'idea, niente di più...
mi sa di no, l'ho provato in locale e funziona, non controlla nulla se non l'esistenza della pagina....probabilmente è il metodo più stupido che io abbia mai visto....
__________________
Nessuno è troppo giovane per avere flashback dal Vietnam
Ogni generazione ha l'eroe che si merita
|
|
08-11-2005 22:44 |
|
|
| |
|
| ripe |
| Concordo. ... |
08-11-2005 22:56 |
|
|
ripe |
- up in the mountains -
Registered: Jun 2002
Posts: 9469 (1.10 al dì)
Location: Cinisellooo
Corso: TICO TICO
Anno: Primo
Time Online: 61 Days, 2:33:39 [...]
Status: Offline
Edit | Report | IP: Logged |
Concordo.
__________________
«And if you ever smell christian blood up in the mountains, then get your axe and chop them down!»
|
|
08-11-2005 22:56 |
|
|
| |
|
| 0m4r |
| concordo anche io...
... |
09-11-2005 10:02 |
|
|
0m4r |
.grande:maestro.
Registered: Mar 2002
Posts: 7287 (0.84 al dì)
Location: Düsseldorf (DE)
Corso:
Anno: ESAMI FINITI
Time Online: 49 Days, 0:57:33 [...]
Status: Offline
Edit | Report | IP: Logged |
concordo anche io...
cmq se ti serve una mano, a meno che tu abbia gia risolto, fai pure un fischio
__________________
http://www.twitter.com/0m4r
|
|
09-11-2005 10:02 |
|
|
| |
|
| fabpicca |
| Re: [Script] Login |
09-11-2005 10:59 |
|
|
fabpicca |
jesus robot d'acciaio
Registered: May 2002
Posts: 2166 (0.25 al dì)
Location: Pieve Emanuele
Corso: Ticom
Anno: 1°
Time Online: 12 Days, 23:12:28 [...]
Status: Offline
Edit | Report | IP: Logged |
Re: [Script] Login
Originally posted by c3ru
un mio amico mi ha passato tempo fa questo script che mi ha un attimo incuriosito, probabilmente per la mia abissale ignoranza nella programmazione web
dunque, la pagina prende login e pass con valori T1 e T2 e cliccando sul bottone di login si chiama questa funzione
function pass()
{
alpha= document.pwd.T1.value
beta= document.pwd.T2.value
location.href= alpha + "/" + beta + ".htm"
}
la mia curiosità è questa: il controllo su login e pass è verificato da qualche parte oppure esiste una pagina con nome www.server.it/pass/user.htm ?
altra questione: il mio amico (ora sparito) mi ha detto che una volta per errore il sito permetteva l'accesso con qualsiasi user e pass inserita a caso. è possibile che sia un errore di questo script o che si tratti di un vecchio script sostituito con questo?
diciamo che è un autenticazione fatta coi fichi secchi. nel senso.
Lui ha fatto delle pagine e delle drectory del tipo:
password/username.html
e l'autenticazione sta nel fatto che se sai la password e lo username (ovvero il path), accedi alla pagina, altrimenti ti becchi un 404.
Peccato che con wget posso scaricarmi tutto l'albero del sito e sapere quali cartelle e quali file ci sono!
__________________
my website?|ubuntu linux|get Firefox|grazie Polonia |bagdad sour
"Come va che non ha le corna e le zampe di Caprone?" gli opposi. "Oh, Giuvà", mi disse il prete "adesso non si usa più.Satana è furbo". (I.Silone, Fontamara)
"Al giorno d'oggi non bisogna essere intelligenti, perchè la gente si offende" (un ubriacone)
"close your eyes / pay the price / for your paradise" (DM) "whatever you want to change/you'd better start changing it in your mind" (Transatlantic)
|
|
09-11-2005 10:59 |
|
|
| |
|
| unidavide |
| Re: Re: [Script] Login |
09-11-2005 19:26 |
|
|
unidavide |
.arcimaestro.
Registered: Nov 2002
Posts: 373 (0.04 al dì)
Location:
Corso:
Anno:
Time Online: 11 Days, 19:48:07: [...]
Status: Offline
Edit | Report | IP: Logged |
Re: Re: [Script] Login
Originally posted by fabpicca
Peccato che con wget posso scaricarmi tutto l'albero del sito e sapere quali cartelle e quali file ci sono! ah, si ?!? e con quale magico argomento? se non c'e' nessun link alla pagina nascosta non penso proprio che tu possa trovarla
|
|
09-11-2005 19:26 |
|
|
| |
|
| mrcnet |
| Re: Re: Re: [Script] Login |
09-11-2005 19:42 |
|
|
mrcnet |
dsy developer
Registered: Oct 2002
Posts: 1160 (0.14 al dì)
Location: Milano
Corso: Comunicazione Digitale
Anno:
Time Online: 9 Days, 5:44:55 [...]
Status: Offline
Edit | Report | IP: Logged |
Re: Re: Re: [Script] Login
Originally posted by unidavide
ah, si ?!? e con quale magico argomento? se non c'e' nessun link alla pagina nascosta non penso proprio che tu possa trovarla
con teleport e simili si riesce benissimo a vedere tutta la struttura del sito, cartelle e files, poi magari in base ai robots.txt presenti o ai vari permessi ti blocca ma a vederli come nomi si vedono.. ecco il perchè del fallimento di un login basato su questo tipo di "trucco"
__________________
www.mrcnetwork.it
|
|
09-11-2005 19:42 |
|
|
| |
|
| All times are GMT. The time now is 20:14. |
|
|
 |
|
 |
|
|
| |
Forum Rules:
You may not post new threads
You may not post replies
You may not post attachments
You may not edit your posts
|
HTML code is OFF
vB code is ON
Smilies are ON
[IMG] code is ON
|
|
|
|
|
|
c3ru
