banner

[Rule] Rules  [Home] Main Forum  [Portal] Portal  
[Members] Member Listing  [Statistics] Statistics  [Search] Search  [Reading Room] Reading Room 
[Register] Register  
[Login] Loginhttp  | https  ]
 
Forum Index Thảo luận thâm nhập 401 Authorization Required  XML
  [Question]   401 Authorization Required 17/07/2012 03:42:59 (+0700) | #1 | 266898
kbt0000
Member

[Minus]    0    [Plus]
Joined: 24/04/2012 06:31:12
Messages: 9
Offline
[Profile] [PM]
Mình truy cập vào trang admin của 1 site, dạng 401 Authorization Required. Mình đã có đầy đủ username và password nhưng vẫn ko truy cập được. Vậy mình muốn hỏi các bạn, khi truy cập vào những trang như vậy, ngoài username và password còn cần có điều kiện gì nữa ko, và cách để bypass nó. Rất cần sự trả lời, thank ngàn lần trước
[Up] [Print Copy]
  [Question]   401 Authorization Required 17/07/2012 04:22:38 (+0700) | #2 | 266899
[Avatar]
conmale
Administrator

Joined: 07/05/2004 23:43:15
Messages: 9353
Location: down under
Offline
[Profile] [PM]

kbt0000 wrote:
Mình truy cập vào trang admin của 1 site, dạng 401 Authorization Required. Mình đã có đầy đủ username và password nhưng vẫn ko truy cập được. Vậy mình muốn hỏi các bạn, khi truy cập vào những trang như vậy, ngoài username và password còn cần có điều kiện gì nữa ko, và cách để bypass nó. Rất cần sự trả lời, thank ngàn lần trước 


Nếu bồ vào trang admin được rồi thì không có rào cản nào khác ngoài cái username/password. Tuy nhiên, đôi khi ngoài username/password bồ có (chưa chắc là có giá trị đăng nhập) còn có thêm 1 factor khác, ví dụ như một password token. Password token này được một cơ chế khác tạo và gởi đến một kênh khác (qua USB hoặc SMS chẳng hạn). Bởi vậy, thay vì đăng nhập:

Username: abc
password: 123456

thì có thể thực tế là:

Username: abc
password: 123456+<token>

Bởi vậy, có thể bồ không đăng nhập được vì bồ thiếu cái token.

Muốn bypass thì khó hơn lên trời nếu như bồ không nắm được cơ chế tạo token đó là gì. Cho dù có biết, thông thường token được tích hợp ở tầng thấp hơn, trong khi bồ thì chỉ lượn lờ ở tầng đăng nhập trên web. Ví dụ trang đăng nhập ấy tích hợp RSA token và token được nhận từ RSA Token Key thì không có cách gì bồ có thể có token đó được, ngoại trừ bồ thâm nhập và khống chế hệ thống RSA và xác định chính xác cái gì tạo ra token cho chính cái Token Key của nạn nhân mà bồ đang cố thâm nhập.

Một ví dụ để bồ đọc cho biết thêm:
http://code.google.com/p/mod-authn-otp/
What bringing us together is stronger than what pulling us apart.
[Up] [Print Copy]
  [Question]   401 Authorization Required 17/07/2012 04:41:45 (+0700) | #3 | 266900
kbt0000
Member

[Minus]    0    [Plus]
Joined: 24/04/2012 06:31:12
Messages: 9
Offline
[Profile] [PM]

conmale wrote:

kbt0000 wrote:
Mình truy cập vào trang admin của 1 site, dạng 401 Authorization Required. Mình đã có đầy đủ username và password nhưng vẫn ko truy cập được. Vậy mình muốn hỏi các bạn, khi truy cập vào những trang như vậy, ngoài username và password còn cần có điều kiện gì nữa ko, và cách để bypass nó. Rất cần sự trả lời, thank ngàn lần trước 


Nếu bồ vào trang admin được rồi thì không có rào cản nào khác ngoài cái username/password. Tuy nhiên, đôi khi ngoài username/password bồ có (chưa chắc là có giá trị đăng nhập) còn có thêm 1 factor khác, ví dụ như một password token. Password token này được một cơ chế khác tạo và gởi đến một kênh khác (qua USB hoặc SMS chẳng hạn). Bởi vậy, thay vì đăng nhập:

Username: abc
password: 123456

thì có thể thực tế là:

Username: abc
password: 123456+<token>

Bởi vậy, có thể bồ không đăng nhập được vì bồ thiếu cái token.

Muốn bypass thì khó hơn lên trời nếu như bồ không nắm được cơ chế tạo token đó là gì. Cho dù có biết, thông thường token được tích hợp ở tầng thấp hơn, trong khi bồ thì chỉ lượn lờ ở tầng đăng nhập trên web. Ví dụ trang đăng nhập ấy tích hợp RSA token và token được nhận từ RSA Token Key thì không có cách gì bồ có thể có token đó được, ngoại trừ bồ thâm nhập và khống chế hệ thống RSA và xác định chính xác cái gì tạo ra token cho chính cái Token Key của nạn nhân mà bồ đang cố thâm nhập.

Một ví dụ để bồ đọc cho biết thêm:
http://code.google.com/p/mod-authn-otp/ 
bạn nói ù hết cả tai, thôi đành móm vậy, dù sao cũng thank
[Up] [Print Copy]
  [Question]   401 Authorization Required 17/07/2012 04:50:43 (+0700) | #4 | 266901
[Avatar]
conmale
Administrator

Joined: 07/05/2004 23:43:15
Messages: 9353
Location: down under
Offline
[Profile] [PM]

kbt0000 wrote:

conmale wrote:

kbt0000 wrote:
Mình truy cập vào trang admin của 1 site, dạng 401 Authorization Required. Mình đã có đầy đủ username và password nhưng vẫn ko truy cập được. Vậy mình muốn hỏi các bạn, khi truy cập vào những trang như vậy, ngoài username và password còn cần có điều kiện gì nữa ko, và cách để bypass nó. Rất cần sự trả lời, thank ngàn lần trước 


Nếu bồ vào trang admin được rồi thì không có rào cản nào khác ngoài cái username/password. Tuy nhiên, đôi khi ngoài username/password bồ có (chưa chắc là có giá trị đăng nhập) còn có thêm 1 factor khác, ví dụ như một password token. Password token này được một cơ chế khác tạo và gởi đến một kênh khác (qua USB hoặc SMS chẳng hạn). Bởi vậy, thay vì đăng nhập:

Username: abc
password: 123456

thì có thể thực tế là:

Username: abc
password: 123456+<token>

Bởi vậy, có thể bồ không đăng nhập được vì bồ thiếu cái token.

Muốn bypass thì khó hơn lên trời nếu như bồ không nắm được cơ chế tạo token đó là gì. Cho dù có biết, thông thường token được tích hợp ở tầng thấp hơn, trong khi bồ thì chỉ lượn lờ ở tầng đăng nhập trên web. Ví dụ trang đăng nhập ấy tích hợp RSA token và token được nhận từ RSA Token Key thì không có cách gì bồ có thể có token đó được, ngoại trừ bồ thâm nhập và khống chế hệ thống RSA và xác định chính xác cái gì tạo ra token cho chính cái Token Key của nạn nhân mà bồ đang cố thâm nhập.

Một ví dụ để bồ đọc cho biết thêm:
http://code.google.com/p/mod-authn-otp/ 
bạn nói ù hết cả tai, thôi đành móm vậy, dù sao cũng thank 


Muốn "thâm nhập" mà "ù tai" với những cái này thì thâm nhập cái gì?
What bringing us together is stronger than what pulling us apart.
[Up] [Print Copy]
[digg] [delicious] [google] [yahoo] [technorati] [reddit] [stumbleupon]
Go to: 
 Users currently in here 
1 Anonymous

Powered by JForum - Extended by HVAOnline
 hvaonline.net  |  hvaforum.net  |  hvazone.net  |  hvanews.net  |  vnhacker.org
1999 - 2013 © v2012|0504|218|