PDA

Просмотр полной версии : Пару вопросов :)

najort
17.08.2007, 18:51
ASP движки сайтов вообще ломаются?

Как можно сломать всплывающее окно авторизации


пример здесь, кто не понял о чем я:
http://212.120.174.26/
n0ne
17.08.2007, 19:19
Это BasicAuth, а не ASP. Ломаеца или брутом, или получением доступа к .htaccess, или протрояниванием хозяина сайта и т.п.

З.Ы. Если это было 2 вопроса, то про ASP почитай статьи про MSSQL-injection.

http://forum.antichat.ru/thread30501.html
Basurman
17.08.2007, 19:25
Не к .htaccess а к .htpasswd
Если первый тусуется в www каталоге, то второй обычно выносят за www, чтобы при взломе ничего не ушло

P.S. n0ne ящик c ЛС у тебя полный :)
n0ne
17.08.2007, 19:31
Basurman, если хватит прав на редактирование .htaccess, то можно вообще эту авторизацию убрать. Не факт что у админа пароль 123, а в .htpasswd он не в чистом виде.

з.ы. почистил уже.
Basurman
17.08.2007, 19:35
А это палевно. там главная страница. заметят - поменяют сразу. Проще добавить юзера в .htpasswd
n0ne
17.08.2007, 19:38
Basurman, по моему опыту, прав на редактирование .htpasswd намного меньше, чем .htaccess (я имею в виду шанс того, что права эти есть). Тем более, если голова работает, то не палевно, не думаю что админ там дежурит 24 часа в сутки, а делать всегда всё надо быстро.
najort
17.08.2007, 22:56
Да это было два вопроса, не корректно задал.

Мда все бы ничего, а если логин неизвестен? То брут невозможен?
n0ne
18.08.2007, 01:31
najort, брут может быть не только вида admin:123, admin:1234, admin:12345,
но и логины тоже. Много прог для создания словарей с разными логин:пасс. Но времени это займет естественно больше :)
n0ne
18.08.2007, 04:18
Tiler2k, покажи мне такого админа, буду ему платить в 2 раза больше, чем ему платят сейчас. 24 часа в сутки может дежурить только программа. Давай теперь все вопросы так ставить? Удивляюсь людям...
najort
18.08.2007, 09:11
Никто там не дежурит, это 100%. Но что-то мне думается, брут будет ооооочень доооолгим.
Tiler2k, нет не проверял, не умею я :( Кто бы помог. Хотя я не привык, просить помощи сразу, пока сам не покопаюсь.

to none
>к .htaccess,
это надо искать инъекцию, либо снова же брутить ФТП. брут подождет, попросим людей посмотреть похимичить над инъекциями.
>или протрояниванием
Это наврятли. Сейчас почти все трои палются. Мыло хозяина на яндексе, где стоит антивирь.