Jednym z podstawowych testów wykonywanych w trakcie testów mechanizmu uwierzytelnienia (formatki logowania) jest sprawdzenie, czy można odróżnić przypadek podania prawidłowej nazwy użytkownika i nieprawidłowego hasła, od podania nieprawidłowej nazwy użytkownika i nieprawidłowego hasła. Jeśli taka różnica istnieje, możliwe jest określenie nazw użytkowników istniejących w aplikacji, co czasami pozwala na dalsze ataki. Jak jest w przypadku http://bootcamp.threats.pl/lesson08/?
Sunday, May 24. 2009
Ślady
Brak Śladów
Komentarze
Znalazłem (bez tego hinta
loginy admin i test. Ale dalej żadnych postępów. Nie wiem gdzie w tym http://pajhome.org.uk/crypt/md5/auth.html można było popełnić błąd, przynajmniej ja go nie znalazłem -- choć moje skrypty chyba trochę pomęczyły Twój serwer.


#1
KKKas
(Strona)
o
2009-05-25 12:56
No to połowa sukcesu. A jakie inne testy warto przeprowadzić? XSS tu nie bardzo ma sens, więc może coś innego...

#1.1
wampir
o
2009-05-30 21:46
I jeszcze jedno - robienie czarów z hasłem po stronie klienta nie koniecznie prowadzi do pożądanych efektów. Zdecydowanie lepszym rozwiązaniem jest szyfrowanie komunikacji, niż tego typu akrobacje. Ale więcej na ten temat po rozwiązaniu wyzwania.
#1.1.1
wampir
o
2009-05-30 23:09