|
Вопрос # 2 917/ вопрос открыт / |
|
Доброго времени суток, уважаемые эксперты!
Есть чат, типа icq, только с веб-интерфейсом. Есть человек в чате. В чате у каждого вошедшего пользователя его собственный пароль хранится в коде его страницы и сам он может его прочитать, другие - только логин. сайт сделан на html+php, пароль хоаниться в переменной ps. Я знаю ip и все открытые порты этого человека... Как мне узнать его пароль???
могу я как-то считать его трафик?
 |
Вопрос задал: Roman Novikov (статус: Посетитель)
Вопрос отправлен: 15 июня 2009, 20:55
Состояние вопроса: открыт, ответов: 0.
|
Мини-форум вопроса
Всего сообщений: 16; последнее сообщение — 16 июня 2009, 03:31; участников в обсуждении: 4.
|
Вадим К (статус: Академик), 15 июня 2009, 21:04 [#1]:
конечно можете, например проснифав его траффик, но только надо приготовиться отвечать по всей строгости закона.
Галочка "подтверждения прочтения" - вселенское зло.
|
|
min@y™ (статус: Доктор наук), 15 июня 2009, 21:14 [#2]:
Это верно, если пароль передаётся в голом виде, а не в виде md5 (или sha1)-хэша.
Однако, и в этом случае, если удасться перехватить хэш, есть возможность его отбрутить.
З.Ы. А вообще, самое лучшее средство для взлома паролей - это кирзовые сапоги 49-го размера.
Делаю лабы и курсачи по Delphi и Turbo Pascal. За ПИВО! Пишите в личку, а лучше в аську. А ещё лучше - звоните в скайп!
|
|
|
Roman Novikov (статус: Посетитель), 15 июня 2009, 21:17 [#3]:
раскажите подробно как что делать?... ну как для тупых по шагам))
|
|
|
min@y™ (статус: Доктор наук), 15 июня 2009, 21:25 [#4]:
Если бы всё было так просто, все бы кругом знали чужие пароли. На самом же деле всё очень сложно и попахивает уголовным кодексом. Как щас помню, 272-я, 273-я и 274-я статьи. Ты хакер? Нет? Значит забудь! Хакером не становятся, хакером рождаются (тут талант нужен). Займись лучше чем-нибудь полезным.
Делаю лабы и курсачи по Delphi и Turbo Pascal. За ПИВО! Пишите в личку, а лучше в аську. А ещё лучше - звоните в скайп!
|
|
|
Roman Novikov (статус: Посетитель), 15 июня 2009, 21:26 [#5]:
да сайтик корявый, там даже сообщения путаются и автоматом вставляются иногда на других страницах. Чувствую тут даже простого знания php хватит чтоб сделать нужное
|
|
|
min@y™ (статус: Доктор наук), 15 июня 2009, 21:28 [#6]:
Статья 272. Неправомерный доступ к компьютерной информации
1. Неправомерный доступ к охраняемой законом компьютерной информации, то есть информации на машинном носителе, в электронно-вычислительной машине (ЭВМ), системе ЭВМ или их сети, если это деяние повлекло уничтожение, блокирование, модификацию либо копирование информации, нарушение работы ЭВМ, системы ЭВМ или их сети, - наказывается штрафом в размере от двухсот до пятисот минимальных размеров оплаты труда или в размере заработной платы или иного дохода осужденного за период от двух до пяти месяцев, либо исправительными работами на срок от шести месяцев до одного года, либо лишением свободы на срок до двух лет.
2. То же деяние, совершенное группой лиц по предварительному сговору или организованной группой либо лицом с использованием своего служебного положения, а равно имеющим доступ к ЭВМ, системе ЭВМ или их сети, - наказывается штрафом в размере от пятисот до восьмисот минимальных размеров оплаты труда или в размере заработной платы или иного дохода осужденного за период от пяти до восьми месяцев, либо исправительными работами на срок от одного года до двух лет, либо арестом на срок от трех до шести месяцев, либо лишением свободы на срок до пяти лет.
Делаю лабы и курсачи по Delphi и Turbo Pascal. За ПИВО! Пишите в личку, а лучше в аську. А ещё лучше - звоните в скайп!
|
|
Death_Master (статус: Посетитель), 15 июня 2009, 21:31 [#7]:
Можно проснифить(т.е. считать трафик в сети)...
Можно трояна подсадить....
Можно сервер поломать....
Но всё это противозаконно, можно и срок получить....
Проснифить- практически безопасно....
троян - уже палится
взлом сервака ОЧЕНЬ палится....
Попахивает это дельце, но нет ничего невозможного....
P.S. Не забывайте о последствиях!!!!!
Обычно захожу по ночам... (60-70%)
Если нужно что-то написать, то беру оборудованием, деньгими и пивом(при личной встрече)...
P.S. Помогаю и рассказываю бесплатно ^_^.....Nyaaa!
|
|
|
Roman Novikov (статус: Посетитель), 15 июня 2009, 21:32 [#8]:
человек сидит с телефона в opera-mini
|
|
|
Roman Novikov (статус: Посетитель), 15 июня 2009, 21:33 [#9]:
через снифер ничего не разобрал, дает другие адреса с сообщениями не понятными в которых и ассемблер как-то залетел
|
|
|
Death_Master (статус: Посетитель), 15 июня 2009, 21:38 [#10]:
Через оперу может проходить сжатый траффик(через сервера оперы)....
А снифер настроить можно, но сложно...
Проще всего следить по IP сервера....
Обычно захожу по ночам... (60-70%)
Если нужно что-то написать, то беру оборудованием, деньгими и пивом(при личной встрече)...
P.S. Помогаю и рассказываю бесплатно ^_^.....Nyaaa!
|
|
|
Вадим К (статус: Академик), 15 июня 2009, 21:43 [#11]:
То min@y™
Тут главное не путать хакеров и скрипткиддисов. А мы имеем последний случай.
to Roman Novikov.
Припустим мы раскажем как это сделать. А скорее всего мы сможем догадаться, как это сделать. И не по той причине, что мы каждый день этим занимаемся, а потому что мы часто сами проектируем подобные системы, тестируем, проверяем (взлом своей же программы, если это не приводит к жертвам/финансовым проблемам/и тому подобное, ни уголовно, ни административно не наказуем).
Но взломаете Вы. Получите пароли. А компетентные органы тут как тут. Матерых специалистов им сложно отлавливать, а простых начинающих - легко. Потом повесят ещё десяток дел (и тут самое главное, что бы нас не приплели. И если я к примеру ещё как то смогу защититься - я в другой стране живу, у нас законы другие, то min@y™ будет немного сложнее).
Постает резонный вопрос: надо ли нам все это?
Но если сильно хочется что то сломать, сайт к примеру, то можно локально установить себе апач, php, MySQL (для этого хорошо либо виртуальную машину установить и туда Линукс, либо поставить реальную старенькую машину - второго пня хватит с головой, монитор не нужен, мышка тоже - стоить это будет копейки). Потом написать сайт, настроить его. А потом поломать. Если его не выпускать в внешний мир и к серверу будете иметь только Вы доступ, то взлом такого сайта не будет уголовно наказуемым. Более того, можно даже будет выкладывать исходники своего сайта и как ломать. Более того - подобный материал будет охраняться авторским правом.
А то что сайтик корявый, и его автор ненормальный ещё не оправдывает. А вот громкое дело для прессы на основании этого - как бальзам на душу.
Галочка "подтверждения прочтения" - вселенское зло.
|
|
|
Roman Novikov (статус: Посетитель), 15 июня 2009, 21:49 [#12]:
сайт ломать не надо, интересен сам механизм получения пароля со страницы пользователя, только одного и в образовательных целях.
|
|
|
Вадим К (статус: Академик), 15 июня 2009, 21:52 [#13]:
да вот проблема в том, что между "образовательными целями" и "реальным взломом" очень маленькая разница для отдела К.
Галочка "подтверждения прочтения" - вселенское зло.
|
|
|
min@y™ (статус: Доктор наук), 15 июня 2009, 22:05 [#14]:
Цитата:
механизм получения пароля со страницы пользователя
Да не хранится он там. Сначала надо найти уязвимость сайта/сервера, чтобы он пропустил тебя в админку (порутать сервер) или каким-то другим способом получить доступ к базе аккаунтов. Затем надо утащить с этого сервера к себе на винт эту смую базу аккаунтов зарегенных на этом сервере юзеров. Затем найти в этой базе интересующий тебя аккаунт. Но даже это не даст тебе пароль, т.к., ещё раз повторяю, ПАРОЛИ НЕ ХРАНЯТСЯ НИГДЕ! И, в большинстве случаев, они даже не передаются по сети. Максимум, что ты сможешь стырить - это хэш пароля. Причём, в общем случае, ты не будешь знать, какой функцией этот хэш получен.
Допустим, это MD5. Ладно, есть прога MD5Inside, которая брутит пароли с большой скоростью. А если это sha1-хэш md5-хэша пароля, тогда что?
Тебе ещё не надоело? Конечно, нет ничего невозможного, но я не есть понимать, каким боком это относится к тематике сайта delphi.int.ru?
Делаю лабы и курсачи по Delphi и Turbo Pascal. За ПИВО! Пишите в личку, а лучше в аську. А ещё лучше - звоните в скайп!
|
|
|
Вадим К (статус: Академик), 15 июня 2009, 22:26 [#15]:
Некоторые начинающие сайтописатели часто делают глупости, вплоть до вставки пароля в код страницы или в кукисы. Так что меня таким не удивишь. Видел подобное на одном достаточно большом ресурсе.
Что мы здесь делаем? - воспитываем подрастающее поколение.
Галочка "подтверждения прочтения" - вселенское зло.
|
|
|
Death_Master (статус: Посетитель), 16 июня 2009, 03:31 [#16]:
+1
Обычно захожу по ночам... (60-70%)
Если нужно что-то написать, то беру оборудованием, деньгими и пивом(при личной встрече)...
P.S. Помогаю и рассказываю бесплатно ^_^.....Nyaaa!
|
Чтобы оставлять сообщения в мини-форумах, Вы должны авторизироваться на сайте.
|
