| כותב |
|
...
אורח
הצטרף / הצטרפה: 01 October 2003
משתמש: אונליין
הודעות: 12647
|
| נשלח בתאריך: 17 October 2005 בשעה 14:58 | | IP רשוּם
|
|
|
|
האם יש כלי מסויים שהוא מעין דיבאגר, לאתרים ?
כאילו.. שיראה לי את הפרטים שמועברים בין השרת לאתר וגם יאפשר לי לשנות אותם,
כמו הכרזות על משתנים וסשיונס, לשנות את הערכים etc
תודה מראש D:
|
| חזרה לתחילת העמוד |
|
| |
cp77fk4r
מנהל פורומים
מנהל פורום אבטחת מידע
הצטרף / הצטרפה: 09 April 2005
מדינה: Israel
משתמש: מנותק/ת
הודעות: 501
|
| נשלח בתאריך: 17 October 2005 בשעה 15:15 | | IP רשוּם
|
|
|
|
מידע שמעובר בין השרת לאתר? האתר נמצא על השרת..
והחלק שבו מכריזים על משתנים נמצא בקוד עצמו, ולא בפלט הHTML, ככה שאי אפשר לדעת בדיוק איפה הכריזו על משתנה..
אבל אם אתה רוצה, ישנו הדפדפן "MiniBrowser" שהוא מראה לך את כל המידע שהדפדפן שלך מעביר, את הקישורים, ואת ההתייחסויות ממנו/העמוד הנוכחי לשרת.
אם למשל אתה ממלא טופס, הוא יציג לך את כל המשתנים שעוברים בGET והPOST, תוכל לבדוק התייחסות מסויימת ואת מקור השליחה וכו'
__________________
[Th3rE R mAnY wAyZ 2 r3aD oN3 EmPty p4gE]
|
| חזרה לתחילת העמוד |
|
| |
SBD
פורומיסט על
הצטרף / הצטרפה: 13 January 2005
מדינה: Israel
משתמש: מנותק/ת
הודעות: 1194
|
| נשלח בתאריך: 17 October 2005 בשעה 15:59 | | IP רשוּם
|
|
|
|
אני חושב שהוא התכוון למשתנים צד שרת כאילו, או בקיצור מעין לראות את קוד המקור של דך ה-ASP [באסמלי :?], ברור שזה כמובן לא אפשרי אחי.
__________________
~ Nobody Is Perfect, I'm Nobody ~
פורומים
|
| חזרה לתחילת העמוד |
|
| |
ניר
מנהל האתר
הצטרף / הצטרפה: 12 January 2005
מדינה: Israel
משתמש: מנותק/ת
הודעות: 3296
|
| נשלח בתאריך: 17 October 2005 בשעה 16:34 | | IP רשוּם
|
|
|
|
.net framework על נט עושה עבודה לא רעה
__________________
מספר האייסיקיו שלי ו/או כתובת ה-MSN שלי אינם מהווים מוקד תמיכה
|
| חזרה לתחילת העמוד |
|
| |
cp77fk4r
מנהל פורומים
מנהל פורום אבטחת מידע
הצטרף / הצטרפה: 09 April 2005
מדינה: Israel
משתמש: מנותק/ת
הודעות: 501
|
| נשלח בתאריך: 18 October 2005 בשעה 18:22 | | IP רשוּם
|
|
|
|
SBD- אני מניח שגם אם היה דרך לבצע את זה- לא היה כאן קשר לאסמבלי, מפני שאין כאן קבצים בינארים, אני בטוח שאתה כבר יודע את זה, ואולי אפילו יותר טוב ממני, אבל אני אגיד את זה בכל זאת- שפות צד שרת עובדות עם מפרשים ואינם צריכות לעבור פעולת הידור בכדי שיהיה אפשר להריץ אותם, ולכן, היפוטתית כמובן, גם אם יהיה אפשר לבצע דבר שכזה- אני מניח שלא ידרש כאן פענוח לשפת אסמבלי.
וUW- התוכנה לא יכולה להציג לך משתנים של המערכת, או את דרך החישוב שמופיעים בקוד צד השרת, מפני שלא אתה ולא הדפדפן/מחשב/כל הפלקציה שבאה מהצד שלך באה איתם במגע ומשתתפת בחישובים שקשורים אליהם, אתה ממלא טפסים ושולח מידע- והפעולות והמשתנים עובדים על בצד השרת, ולא על המחשב שלך/הדפדפן שלך.
__________________
[Th3rE R mAnY wAyZ 2 r3aD oN3 EmPty p4gE]
|
| חזרה לתחילת העמוד |
|
| |
...
אורח
הצטרף / הצטרפה: 01 October 2003
משתמש: אונליין
הודעות: 12647
|
| נשלח בתאריך: 18 October 2005 בשעה 19:42 | | IP רשוּם
|
|
|
|
 - אז אי אפשר לשנות כלום ?!
אפילו לא סשיונס ?
אי אפשר להפריע את התבצעות דף ASP ולשבש / לשנות אותו ?!
תודה לכל המגיבים:)
|
| חזרה לתחילת העמוד |
|
| |
...
אורח
הצטרף / הצטרפה: 01 October 2003
משתמש: אונליין
הודעות: 12647
|
| נשלח בתאריך: 18 October 2005 בשעה 19:42 | | IP רשוּם
|
|
|
|
התכוונתי תודה לכל מי שהגיב:)
|
| חזרה לתחילת העמוד |
|
| |
SBD
פורומיסט על
הצטרף / הצטרפה: 13 January 2005
מדינה: Israel
משתמש: מנותק/ת
הודעות: 1194
|
| נשלח בתאריך: 18 October 2005 בשעה 20:00 | | IP רשוּם
|
|
|
|
cp77fk4r כתב:
|
SBD- אני מניח שגם אם היה דרך לבצע את זה- לא היה כאן קשר לאסמבלי, מפני שאין כאן קבצים בינארים, אני בטוח שאתה כבר יודע את זה, ואולי אפילו יותר טוב ממני, אבל אני אגיד את זה בכל זאת- שפות צד שרת עובדות עם מפרשים ואינם צריכות לעבור פעולת הידור בכדי שיהיה אפשר להריץ אותם, ולכן, היפוטתית כמובן, גם אם יהיה אפשר לבצע דבר שכזה- אני מניח שלא ידרש כאן פענוח לשפת אסמבלי.
וUW- התוכנה לא יכולה להציג לך משתנים של המערכת, או את דרך החישוב שמופיעים בקוד צד השרת, מפני שלא אתה ולא הדפדפן/מחשב/כל הפלקציה שבאה מהצד שלך באה איתם במגע ומשתתפת בחישובים שקשורים אליהם, אתה ממלא טפסים ושולח מידע- והפעולות והמשתנים עובדים על בצד השרת, ולא על המחשב שלך/הדפדפן שלך.
|
|
|
כתבתי אסמבלי, כאילו שאלתי אותו אם הוא התכוון אסמבלי....מובן שאני יודע שאין קשר בין זה לבין תכנות צד שרת :)
__________________
~ Nobody Is Perfect, I'm Nobody ~
פורומים
|
| חזרה לתחילת העמוד |
|
| |
...
אורח
הצטרף / הצטרפה: 01 October 2003
משתמש: אונליין
הודעות: 12647
|
| נשלח בתאריך: 18 October 2005 בשעה 20:25 | | IP רשוּם
|
|
|
|
SBD כתב:
|
כתבתי אסמבלי, כאילו שאלתי אותו אם הוא התכוון אסמבלי....מובן שאני יודע שאין קשר בין זה לבין תכנות צד שרת :) |
|
|
נופ - השתמשתי במילה "דיבאגר" רק כדי לתאר את הכוונה שלי..
|
| חזרה לתחילת העמוד |
|
| |
ניר
מנהל האתר
הצטרף / הצטרפה: 12 January 2005
מדינה: Israel
משתמש: מנותק/ת
הודעות: 3296
|
| נשלח בתאריך: 18 October 2005 בשעה 20:44 | | IP רשוּם
|
|
|
|
cp77fk4r כתב:
|
וUW- התוכנה לא יכולה להציג לך משתנים של המערכת, או את דרך החישוב
שמופיעים בקוד צד השרת, מפני שלא אתה ולא הדפדפן/מחשב/כל הפלקציה שבאה
מהצד שלך באה איתם במגע ומשתתפת בחישובים שקשורים אליהם, אתה ממלא
טפסים ושולח מידע- והפעולות והמשתנים עובדים על בצד השרת, ולא על המחשב
שלך/הדפדפן שלך. |
|
|
CP - זה פשוט לא נכון - אתה חי בעולם אחר 
הכלים של .net מאפשרים לך לדבג תוכנות בצד השרת שורה אחרי שורה כאילו זה תוכנית רגילה
__________________
מספר האייסיקיו שלי ו/או כתובת ה-MSN שלי אינם מהווים מוקד תמיכה
|
| חזרה לתחילת העמוד |
|
| |
SBD
פורומיסט על
הצטרף / הצטרפה: 13 January 2005
מדינה: Israel
משתמש: מנותק/ת
הודעות: 1194
|
| נשלח בתאריך: 18 October 2005 בשעה 21:05 | | IP רשוּם
|
|
|
|
זה נראה לי קצת לא מובן והרבה מסוכן ניר, אתה יכול לפרט טיפה יותר ?
__________________
~ Nobody Is Perfect, I'm Nobody ~
פורומים
|
| חזרה לתחילת העמוד |
|
| |
cp77fk4r
מנהל פורומים
מנהל פורום אבטחת מידע
הצטרף / הצטרפה: 09 April 2005
מדינה: Israel
משתמש: מנותק/ת
הודעות: 501
|
| נשלח בתאריך: 18 October 2005 בשעה 22:50 | | IP רשוּם
|
|
|
|
ניר, אני לא משתמש בכלים בסביבת DotNet, אבל הגיונית- תחשוב מה אתה אומר ותראה שזה לא הכי הגיוני.
א- בכדי לדאבג משהו- אני חייב שתהיה לי גישה לקובץ, ולא לפלט שלו (כמו באתרי אינטרנ לדוגמא- ששם יש לך רק גישה לפלט HTML שלהם).
ב- אם הייתי יכול לדאבג כל עמוד ASP שאני רוצה בעזרת כלי מסויים- ולראת את הקוד והחישוב שלו- לא הייתה לי בעיה לגנוב כל מידע שאני רוצה, אני רואה את הASP, משנה קצת את השאילתות לדוגמא, ושולף ברגע את הסיסמא של המשתמש, או שפשוט הייתי גונב אתרים שלמים ומערכות שעולות כסף..
ג- הגיוני שאנחנו לא מבינים אחד את השני, ואני חושב שאתה מדבר על לדאבג את הפלט HTML של עמוד מסויים שנכתב בצד שרת.
ד- אם אני טועה, אני רץ להוריד את התוכנה, ואחרי שאני אשתמש בה, אני אשלח לך לאימייל את כל האתר של גוגל...
__________________
[Th3rE R mAnY wAyZ 2 r3aD oN3 EmPty p4gE]
|
| חזרה לתחילת העמוד |
|
| |
ניר
מנהל האתר
הצטרף / הצטרפה: 12 January 2005
מדינה: Israel
משתמש: מנותק/ת
הודעות: 3296
|
| נשלח בתאריך: 19 October 2005 בשעה 00:48 | | IP רשוּם
|
|
|
|
הכלי של דוט נט מאפשר לך לדבג אתרים ש:
1. האפליקציה שרצה עליהם רצה כשהיא קומפלה במצב debug
2. יש לך ססמת גישה לשרת.
במידה וכך, ה.net מתקשר עם שרת ה-IIS, מריץ את קובץ השרת שורה אחרי שורה ומתנהג כפי שציינתי - כמו דיבגר של תוכנית רגילה.
__________________
מספר האייסיקיו שלי ו/או כתובת ה-MSN שלי אינם מהווים מוקד תמיכה
|
| חזרה לתחילת העמוד |
|
| |
SBD
פורומיסט על
הצטרף / הצטרפה: 13 January 2005
מדינה: Israel
משתמש: מנותק/ת
הודעות: 1194
|
| נשלח בתאריך: 19 October 2005 בשעה 01:33 | | IP רשוּם
|
|
|
|
ואתה מאמין ניר שבקטע של הסיסמא יהיו חורי אבטחה חמורים?
__________________
~ Nobody Is Perfect, I'm Nobody ~
פורומים
|
| חזרה לתחילת העמוד |
|
| |
ניר
מנהל האתר
הצטרף / הצטרפה: 12 January 2005
מדינה: Israel
משתמש: מנותק/ת
הודעות: 3296
|
| נשלח בתאריך: 19 October 2005 בשעה 02:03 | | IP רשוּם
|
|
|
|
זה עובד יופי.. בעבודה שלי בטכניון משתמשים בזה כל הזמן
__________________
מספר האייסיקיו שלי ו/או כתובת ה-MSN שלי אינם מהווים מוקד תמיכה
|
| חזרה לתחילת העמוד |
|
| |
cp77fk4r
מנהל פורומים
מנהל פורום אבטחת מידע
הצטרף / הצטרפה: 09 April 2005
מדינה: Israel
משתמש: מנותק/ת
הודעות: 501
|
| נשלח בתאריך: 19 October 2005 בשעה 03:36 | | IP רשוּם
|
|
|
|
וואי ניר..., אתה עומד לקבל מכות!
אם יש לך גישה לקבצי האתר- אין שום בעיה לדאבג, אפשר גם להוריד את העמוד למחשב לראות את הקוד- ולדאבג עם עפרון ונייר...
אנחנו מדברים פה במצב שאין לך גישה- הוא הרי אמר "אתגרים"- כל מני אתרים (כמו למשל TryThis0ne אהם אהם..)
פאק, ניר, אתה בן אדם הזוי.
__________________
[Th3rE R mAnY wAyZ 2 r3aD oN3 EmPty p4gE]
|
| חזרה לתחילת העמוד |
|
| |
ניר
מנהל האתר
הצטרף / הצטרפה: 12 January 2005
מדינה: Israel
משתמש: מנותק/ת
הודעות: 3296
|
| נשלח בתאריך: 19 October 2005 בשעה 03:50 | | IP רשוּם
|
|
|
|
... כתב:
האם יש כלי מסויים שהוא מעין דיבאגר, לאתרים ?
כאילו.. שיראה לי את הפרטים שמועברים בין השרת לאתר וגם יאפשר לי לשנות אותם,
כמו הכרזות על משתנים וסשיונס, לשנות את הערכים etc
תודה מראש D: |
|
|
השאלה לא ציינה אם יש לך או לא.. אם יש לך אתר שהוא שלך, אתה מסוגל לדבג כמו גדול את צד השרת
__________________
מספר האייסיקיו שלי ו/או כתובת ה-MSN שלי אינם מהווים מוקד תמיכה
|
| חזרה לתחילת העמוד |
|
| |
...
אורח
הצטרף / הצטרפה: 01 October 2003
משתמש: אונליין
הודעות: 12647
|
| נשלח בתאריך: 19 October 2005 בשעה 08:50 | | IP רשוּם
|
|
|
|
האמת, שמעתי פעם על כלי ש"מראה לך את הפרטים המועברים בין האתר לשרת",
זה נשמע די כמו מה שאני רוצה, אבל הלינק היה שבור*-)
|
| חזרה לתחילת העמוד |
|
| |
SBD
פורומיסט על
הצטרף / הצטרפה: 13 January 2005
מדינה: Israel
משתמש: מנותק/ת
הודעות: 1194
|
| נשלח בתאריך: 19 October 2005 בשעה 10:48 | | IP רשוּם
|
|
|
|
^^ וזה בטח היה סתם סוס טרויאני חמוד :)
__________________
~ Nobody Is Perfect, I'm Nobody ~
פורומים
|
| חזרה לתחילת העמוד |
|
| |
...
אורח
הצטרף / הצטרפה: 01 October 2003
משתמש: אונליין
הודעות: 12647
|
| נשלח בתאריך: 19 October 2005 בשעה 10:54 | | IP רשוּם
|
|
|
|
גדול:)
|
| חזרה לתחילת העמוד |
|
| |
ShadowBeast
אחראי פורומים
הצטרף / הצטרפה: 22 January 2005
מדינה: Israel
משתמש: מנותק/ת
הודעות: 1073
|
| נשלח בתאריך: 19 October 2005 בשעה 21:17 | | IP רשוּם
|
|
|
|
הוכחה שיש כזה דבר(ושמאוד משעמם לי):
תמונה
__________________
The highest knowledge is to know that we are surrounded by mystery - Albert Schweitzer
He who will not take the hint, must take the consequence - Glenn v. Covey (1854)
ShadowBeast
|
| חזרה לתחילת העמוד |
|
| |
cp77fk4r
מנהל פורומים
מנהל פורום אבטחת מידע
הצטרף / הצטרפה: 09 April 2005
מדינה: Israel
משתמש: מנותק/ת
הודעות: 501
|
| נשלח בתאריך: 21 October 2005 בשעה 00:59 | | IP רשוּם
|
|
|
|
מה הוחכה?!
ניר- הוא שאל האם יש דיבאגר לאתגרי אתרים, נכון? זאת אומרת שהוא צריך לפתור איזה אתר מסויים- ולכן הוא צריך דיבאגר, אם יש לו גישה לשרת- למה שפשוט לא יסתכל בקוד מקור של העמוד, או אפילו, אם האתגר זה להשיג סיסמא מסויימת ע"י ניצול איזה באג- למה פשוט לא להסתכל על הקבצים בשרת ולראות איפה הקובץ סיסמאות?!
לפי השאלה זה מובן מאליו שאין לו גישה לשרת, אם יש לך גישה לשרת- תדאבג כמה שאתה רוצה..
__________________
[Th3rE R mAnY wAyZ 2 r3aD oN3 EmPty p4gE]
|
| חזרה לתחילת העמוד |
|
| |
...
אורח
הצטרף / הצטרפה: 01 October 2003
משתמש: אונליין
הודעות: 12647
|
| נשלח בתאריך: 21 October 2005 בשעה 01:09 | | IP רשוּם
|
|
|
|
cp הכי קרוב למה שרציתי
אחרת למה לי לא לשים פוסט ב"בניית אתרים" ?
חבל טוב..אני שמעתי על כלי כזה ולא מוצא אותו:(
וכמו שSBD אמר זה בטח היה סוס טרואיני חמוד...
השאלה אם אתם בטוחים...
למשל אין אפשרות לפרוץ את הקוד הזה מלבד עם brute force:
קוד:
|
login.asp
<form method=post action=doit.asp>
<input name=pass value=abc>
</form>
doit.asp
<%
if request.form("pass")="bollo" then
response.write("Good pass")
else
response.write("bad pass")
end if
%>
|
|
|
thats strange
|
| חזרה לתחילת העמוד |
|
| |
cp77fk4r
מנהל פורומים
מנהל פורום אבטחת מידע
הצטרף / הצטרפה: 09 April 2005
מדינה: Israel
משתמש: מנותק/ת
הודעות: 501
|
| נשלח בתאריך: 21 October 2005 בשעה 01:37 | | IP רשוּם
|
|
|
|
אם אתה מתייחס רק על סוג ההתקפות על עמודי Web, אין דרך מוכרת לפרוץ את זה.
אבל כמובן שקיימות גם התקפות שלא על עמודי Web...
__________________
[Th3rE R mAnY wAyZ 2 r3aD oN3 EmPty p4gE]
|
| חזרה לתחילת העמוד |
|
| |
notkok
משתמש פעיל
הצטרף / הצטרפה: 13 January 2005
משתמש: מנותק/ת
הודעות: 88
|
| נשלח בתאריך: 21 October 2005 בשעה 02:10 | | IP רשוּם
|
|
|
|
cp77fk4r כתב:
כל מני אתרים (כמו למשל TryThis0ne אהם אהם..) |
|
|
מזה trythis0ne? משחק קופסא?
|
| חזרה לתחילת העמוד |
|
| |
SBD
פורומיסט על
הצטרף / הצטרפה: 13 January 2005
מדינה: Israel
משתמש: מנותק/ת
הודעות: 1194
|
| נשלח בתאריך: 21 October 2005 בשעה 02:11 | | IP רשוּם
|
|
|
|
חחחחחחח, CP שקול להוציא משחק קופסא, לעזזאל אם סודוקו יש שיהיה גם TT0...חחח
__________________
~ Nobody Is Perfect, I'm Nobody ~
פורומים
|
| חזרה לתחילת העמוד |
|
| |
cp77fk4r
מנהל פורומים
מנהל פורום אבטחת מידע
הצטרף / הצטרפה: 09 April 2005
מדינה: Israel
משתמש: מנותק/ת
הודעות: 501
|
| נשלח בתאריך: 21 October 2005 בשעה 02:22 | | IP רשוּם
|
|
|
|
חברס, אתם באופ-טופיק, נא לזוז בכיוון החץ ;)
__________________
[Th3rE R mAnY wAyZ 2 r3aD oN3 EmPty p4gE]
|
| חזרה לתחילת העמוד |
|
| |
נושאים פעילים
רשימת משתמשים
חיפוש
עזרה
הרשמה
התחברות
UnderWarrior Forums : 
אבטחת מידע
