Форум программистов, компьютерный форум, киберфорум
C#: Web, ASP.NET
Войти
Регистрация
Восстановить пароль
 
Рейтинг 4.67/6: Рейтинг темы: голосов - 6, средняя оценка - 4.67
0 / 0 / 1
Регистрация: 05.07.2007
Сообщений: 140
1

Можно ли обойти такой password?

10.12.2007, 11:37. Просмотров 1087. Ответов 11
Метки нет (Все метки)

ASP страничка закрыта паролем самым простым способом:
форма:
Код
<FORM ACTION='mypage.asp' METHOD='post'>
<INPUT TYPE='password' NAME='pass'></INPUT>
</FORM>
страница mypage.asp:
Код
If Request.Form('pass') <> 'mypassword' Then
Response.Write 'Access Denied!'
Else
Response.Write 'Bla-bla-bla'
End If
Каким способом, не зная пароля, можно открыть страницу, если это вообще возможно?!
0
Programming
Эксперт
94731 / 64177 / 26122
Регистрация: 12.04.2006
Сообщений: 116,782
10.12.2007, 11:37
Ответы с готовыми решениями:

Asp.net identity password verification - локализованные строки ошибок не устраивают. Можно ли как-то изменить?
Всем привет. Делаю смену пароля. Есть такой код: public async Task&lt;ActionResult&gt;...

Как обойти выполнение запроса, если такой запрос уже был обработан?
Интересует такой момент. Как избежать повторение запроса mysql_query для insert, update и так...

Поясните пожайлуста механизм работы - PASSWORD=$PASSWORD$BUFF - в цикле
Мне непонятен механизм работы вот такого написания переменной. PASSWORD=$PASSWORD$BUFF #...

Как можно обойти проверку CRC или как можно распаковать поврежденный архив?
Есть старый архив. Но при попытке достать из него файл выдается сообщение о несовпадении CRC. Как...

11
Sergik
10.12.2007, 13:06 2
перехватить HTTP запрос и узнать mypassword, он там открытым текстом передается, перхватить HTTP запрос, можно из компа в локальной сети, или на любом router/proxy, через который проходит запрос; нужно также помнить, что таким образом защищается только страница mypage.asp, если ты хочешь защитить все свои страницы, то флаг аутентификации пользователя надо хранить в Session и проверять этот флаг во всех защищенных asp страницах на сервере
0 / 0 / 1
Регистрация: 05.07.2007
Сообщений: 140
11.12.2007, 04:16  [ТС] 3
Даже если c Session, чтобы пользователь изначально передал пароль ему нужно его сообщить. А это либо post, либо get.
Вообще вопрос ко всем, как лучше всего в ASP организовать защиту страниц, чтобы просто и надежно (ну пускай не очень просто, но надежно)? Предложений масса, но все разрозненные. Может обобщим?
0
0 / 0 / 0
Регистрация: 05.12.2007
Сообщений: 50
11.12.2007, 08:31 4
я после проверки пароля пишу в cookes usera некую криптованную стороку
которая содержит его пароль, его ip и время его логина с точностью до получаса.
а так-же его ID
как он жмет на очередной линк то у меня во всех asp стоит вначале
include virtual checkpass.asp
вот этот asp кароче, смотрит названия текущей асп в которм его запустили, смотрит из таблицы минимальный акцесс для доступа к данной странице (или к данной папке), и если акцесс нужен , то берет из куки user ID
по userID находит пароль его в таблице
добавляет ip adress user'a и текущее время округленное до 30 минут
все это дело криптует и проверяет с кукой
так-же проверяет, то-же самое но с временем округленным до полу-часа минус 30 минут.
если совпало второе - тогда я в cookies пишу строку для нового полу-часа.
вот
кароче говоря, получается что пока юзер кликает по страницам хотя-бы раз в 30 минут все ок,
а если типа они не совпали, тогда я делаю redirect на страницу где спрашивают login & password
и передаю на эту станицу название asp файла, а так-же все параметры с которыми asp был вызван и там если все ок - тогда типа response redirect делаю обратно со всеми этими параметрами.
че-то длинное получилось обьяснение - но вобщем это удобная система
т.к. в самих asp файлах тебе ничего нужно в самом начале делать один include и все.
и фактически этот include прозрачный для самого asp. т.е. если asp начал выполнятся, то значит с юзером все ok.
P.S.
для криптования я пользую one way crypt т.е. который в принцыпе в обратную сторону не декриптуется
типа такого:
http://www.hotscripts.com/ASP/Scripts_and_Components/Security_Systems/
aspCrypt
по этому его можно безбоязненно в cookes xранить
0
Sergik
11.12.2007, 09:46 5
to DRY_GIN: самое опасная операция - это именно передача пароля от пользователя к серверу, все остальное (криптование, куки) мне кажется лишним, вполне подойдет и хранение в Session
0 / 0 / 1
Регистрация: 05.07.2007
Сообщений: 140
11.12.2007, 11:31  [ТС] 6
Вот в этом то и вопрос. Все-таки как не изгаляйся, но пароль перехватить можно?!
Я использовал вариант подобный примеру DRY_GIN, только без куков и криптования. После получения id&password забивал посетителя в session, а в каждую защищаемую страницу include'ил скрипт проверки. Пока ничего лучшего не могу придумать (чтобы просто и надежно =:0) ).
0
0 / 0 / 0
Регистрация: 05.12.2007
Сообщений: 50
11.12.2007, 17:32 7
( в защиту coockies)
a когда новое окно браузерa открыть и с ним пойти на server,
то в нем сессия уже другая будет, а кукис останутся

....
пароль c логином никто особенно не шифрует при передаче
ни hotmail, ни банки всякие онлайн
вполне достаточно проверку пароля делать через https://
однако если вам так хочется уж защиты
- можно вместо формы с отправкой пароля
грузить на юзера апплет джавовский, который будет типа public key private key encryption делать, тогда точно никто не подкопает.
так например https://www.hushmail.com/ делает.
это конечно круто, но по-моему перебор..
0
Sergik
11.12.2007, 18:06 8
to DRY_GIN: а когда закрыть браузер и срочно уехать в командировку, Session исчезнет, а кукисы останутся - заходи, кто хочет? ;-) а если не закрывать браузер, а открывать только его новые окна, то и Session останется
al
11.12.2007, 18:32 9
я кaк-тo рaбoтaл в oднoм месте
и тaм былa тaкaя штукa:

<input type='text' name='<%= Des('textbox_name') %>'>

былo дaже
....value='<%= DesVal('textbox_value') %>'...
нo пoследним не пoлзoвaлис тaк кaк етo был перебoр
и нaчинaлo глучитъ.

нo пoсле Des перехвaтитъ врoде невoзмoжнo былo,
дaже view source ничегo не пoнятнo
0 / 0 / 0
Регистрация: 05.12.2007
Сообщений: 50
11.12.2007, 22:02 10
то Sergik: про session, мне кажется логичнее, что раз user ввел пароль, то не важно что там у него с броузерами происходит, его больше пароль спрашивать не должны.
если он хочет чтоб куки стерлись - то обычно делают logout тогда соответственно все стирается.
еще куки удобнее тем что их можно шарить между asp и например perl-oм или java applet's
а, как я уже говорил, через 30 минут они становятся недействительными в любом случае, так что если человек уехал в командировку, то никто зайти не сможет, и куки ему никак не помогут.
Хотя, я согласен - session легче и удобнее для этих целей использовать
минус cookes в том что иногда люди кукес дизейблят на компе, и их енейблять куки не заставишь. по этому я собственно храню в session и в cookies дубликаты just in case
0
Sergik
12.12.2007, 11:37 11
небольшая поправка - если куки отключены, то Session не работает
3 / 3 / 5
Регистрация: 10.05.2007
Сообщений: 1,617
12.12.2007, 11:49 12
Смотря какие cookie отключены, per-session cookie или обычные. В первом случае Session действительно не работают.
0
IT_Exp
Эксперт
87844 / 49110 / 22898
Регистрация: 17.06.2006
Сообщений: 92,604
12.12.2007, 11:49

Заказываю контрольные, курсовые, дипломные и любые другие студенческие работы здесь.

login password http можно ли залогиниться на сайт с пом VBA?
1)Подскажите, пожалуйста. Можно ли с помощью VBA в экселе залогиниться на страницу, где требуется...

Как можно забросить в броузер login/password для авторизации
Ситуация такая: на секретной директории навешено .htaccess ограничение для нескольких...

можно ли создать такой именованый пейп , что по нему можно было передавать данные по сети?
можно ли создать такой именованый пейп , что по нему можно было передавать данные по сети? как он...

Можно ли своими руками сделать такой чисто оптический девайс и как его можно обозвать?
Девайс предназназначен для просмотра статических стереопар. Стереопары вместе с разметкой...


Искать еще темы с ответами

Или воспользуйтесь поиском по форуму:
12
Ответ Создать тему
Опции темы

КиберФорум - форум программистов, компьютерный форум, программирование
Powered by vBulletin® Version 3.8.9
Copyright ©2000 - 2020, vBulletin Solutions, Inc.