Mình truy cập vào trang admin của 1 site, dạng 401 Authorization Required. Mình đã có đầy đủ username và password nhưng vẫn ko truy cập được. Vậy mình muốn hỏi các bạn, khi truy cập vào những trang như vậy, ngoài username và password còn cần có điều kiện gì nữa ko, và cách để bypass nó. Rất cần sự trả lời, thank ngàn lần trước 

kbt0000 wrote:

Mình truy cập vào trang admin của 1 site, dạng 401 Authorization Required. Mình đã có đầy đủ username và password nhưng vẫn ko truy cập được. Vậy mình muốn hỏi các bạn, khi truy cập vào những trang như vậy, ngoài username và password còn cần có điều kiện gì nữa ko, và cách để bypass nó. Rất cần sự trả lời, thank ngàn lần trước 

Nếu bồ vào trang admin được rồi thì không có rào cản nào khác ngoài cái username/password. Tuy nhiên, đôi khi ngoài username/password bồ có (chưa chắc là có giá trị đăng nhập) còn có thêm 1 factor khác, ví dụ như một password token. Password token này được một cơ chế khác tạo và gởi đến một kênh khác (qua USB hoặc SMS chẳng hạn). Bởi vậy, thay vì đăng nhập:

Username: abc
password: 123456

thì có thể thực tế là:

Username: abc
password: 123456+<token>

Bởi vậy, có thể bồ không đăng nhập được vì bồ thiếu cái token.

Muốn bypass thì khó hơn lên trời nếu như bồ không nắm được cơ chế tạo token đó là gì. Cho dù có biết, thông thường token được tích hợp ở tầng thấp hơn, trong khi bồ thì chỉ lượn lờ ở tầng đăng nhập trên web. Ví dụ trang đăng nhập ấy tích hợp RSA token và token được nhận từ RSA Token Key thì không có cách gì bồ có thể có token đó được, ngoại trừ bồ thâm nhập và khống chế hệ thống RSA và xác định chính xác cái gì tạo ra token cho chính cái Token Key của nạn nhân mà bồ đang cố thâm nhập.

Một ví dụ để bồ đọc cho biết thêm:
http://code.google.com/p/mod-authn-otp/ 

conmale wrote:

kbt0000 wrote:

Mình truy cập vào trang admin của 1 site, dạng 401 Authorization Required. Mình đã có đầy đủ username và password nhưng vẫn ko truy cập được. Vậy mình muốn hỏi các bạn, khi truy cập vào những trang như vậy, ngoài username và password còn cần có điều kiện gì nữa ko, và cách để bypass nó. Rất cần sự trả lời, thank ngàn lần trước 

Nếu bồ vào trang admin được rồi thì không có rào cản nào khác ngoài cái username/password. Tuy nhiên, đôi khi ngoài username/password bồ có (chưa chắc là có giá trị đăng nhập) còn có thêm 1 factor khác, ví dụ như một password token. Password token này được một cơ chế khác tạo và gởi đến một kênh khác (qua USB hoặc SMS chẳng hạn). Bởi vậy, thay vì đăng nhập:

Username: abc
password: 123456

thì có thể thực tế là:

Username: abc
password: 123456+<token>

Bởi vậy, có thể bồ không đăng nhập được vì bồ thiếu cái token.

Muốn bypass thì khó hơn lên trời nếu như bồ không nắm được cơ chế tạo token đó là gì. Cho dù có biết, thông thường token được tích hợp ở tầng thấp hơn, trong khi bồ thì chỉ lượn lờ ở tầng đăng nhập trên web. Ví dụ trang đăng nhập ấy tích hợp RSA token và token được nhận từ RSA Token Key thì không có cách gì bồ có thể có token đó được, ngoại trừ bồ thâm nhập và khống chế hệ thống RSA và xác định chính xác cái gì tạo ra token cho chính cái Token Key của nạn nhân mà bồ đang cố thâm nhập.

Một ví dụ để bồ đọc cho biết thêm:
http://code.google.com/p/mod-authn-otp/ 

bạn nói ù hết cả tai, thôi đành móm vậy, dù sao cũng thank