English | Vietnamese
 

banner

[Rule] Rules  [Home] Main Forum  [Portal] Portal  
[Members] Member Listing  [Statistics] Statistics  [Search] Search  [Reading Room] Reading Room 
[Register] Register   [Login] Loginhttp  | https  ]
 
Forum Index Thảo luận thâm nhập Nên dùng phương thức + công cụ nào cho các trang login kiểu này?  XML
  [Question]   Nên dùng phương thức + công cụ nào cho các trang login kiểu này? 10/09/2011 08:59:17 (+0700) | #1 | 246794
naxinax
Member
[Minus]    0    [Plus]
Joined: 09/09/2011 20:40:33
Messages: 2
Offline
[Profile] [PM]
Em là newbie, đang tập nghiên cứu về bảo mật web nên cần các anh trong HVAonline giúp đỡ: khi gặp những trang login kiểu này thì mình nên dùng phương pháp và công cụ gì để thâm nhập?




Em đã dùng Access Diver 4, Brutus với các file worlist (username + pass) có sẵn nhưng ko ăn thua gì. Với lại mấy anh cho em hỏi: trong tấn công kiểu brute forge khi nào mình dùng phương pháp POST, còn khi nào mình dùng phương pháp GET, hai phương thức này có gì khác nhau vậy? Trong trường hợp của em thì dùng phương pháp POST đúng ko?

Đây là mã nguồn của trang, mong mấy anh giúp đỡ! smilie

<!DOCTYPE html PUBLIC "-//W3C//DTD XHTML 1.0 Transitional//EN" "http://www.w3.org/TR/xhtml1/DTD/xhtml1-transitional.dtd">

<html xmlns="http://www.w3.org/1999/xhtml" >
<head><title>
Untitled Page
</title></head>
<body>
<form name="form1" method="post" action="Default.aspx" id="form1">
<div>
<input type="hidden" name="__EVENTTARGET" id="__EVENTTARGET" value="" />
<input type="hidden" name="__EVENTARGUMENT" id="__EVENTARGUMENT" value="" />
<input type="hidden" name="__VIEWSTATE" id="__VIEWSTATE" value="/wEPDwUKMTUyNzUzNTM5OGRkYpxbYf/8X27Ez4G2MA+epsHroa0=" />
</div>

<script type="text/javascript">
//<![CDATA[
var theForm = document.forms['form1'];
if (!theForm) {
theForm = document.form1;
}
function __doPostBack(eventTarget, eventArgument) {
if (!theForm.onsubmit || (theForm.onsubmit() != false)) {
theForm.__EVENTTARGET.value = eventTarget;
theForm.__EVENTARGUMENT.value = eventArgument;
theForm.submit();
}
}
//]]>

</script>


<div>

<input type="hidden" name="__EVENTVALIDATION" id="__EVENTVALIDATION" value="/wEWBALf9qvYCQKAnoOQAgKLzZXYCgLbhbjtDVn0aYE6gB9KKI1XJFfIlmoiTACH" />
</div>

<script type="text/javascript">
function stopRKey(evt)
{
var evt = (evt) ? evt : ((event) ? event : null);
var node = (evt.target) ? evt.target : ((evt.srcElement) ? evt.srcElement : null);
if (evt.keyCode == 13)
{
var elem=document.getElementById("ctl02_Button1");
elem.click();
}
}
document.onkeypress = stopRKey;
</script>
<div style="text-align:left; background-color:#F5F5F5; border:solid 1px silver; margin:0px; padding:0px 0px 0px 30px; width:300px; height:150px; float:left;">
<img src="/jpg/DangNhap.jpg" /><br />
<br />
<img src="/jpg/ico1.gif" />

<input name="ctl02$txtID" type="text" id="ctl02_txtID" class="text" tabindex="2" />
<br />
<img src="/jpg/ico2.gif" />
<input name="ctl02$txtPwd" type="password" id="ctl02_txtPwd" class="text" size="20" style="margin-top:10px;" tabindex="3" /><br />
<input onclick="__doPostBack('ctl02$Button1','')" name="ctl02$Button1" type="button" id="ctl02_Button1" style="width:100px; margin-left:20px; margin-top:5px;" tabindex="4" value="Đăng nhập" />
</div>
<div id="ctl02_lblError" style="clear:both"></div>

</form>
</body>
</html>
 
[Up] [Print Copy]
  [Question]   Nên dùng phương thức + công cụ nào cho các trang login kiểu này? 11/09/2011 13:09:06 (+0700) | #2 | 246848
[Avatar]
 xnohat
Moderator
Joined: 30/01/2005 13:59:19
Messages: 1210
Location: /dev/null
Offline
[Profile] [PM] [Email] [WWW] [Yahoo!] [MSN]
ở đây có một điểm kiến thức vô cùng căn bản mà bồ chưa nắm được. GET hay POST là gì ? chúng khác nhau ra sao ? thực hiện GET thì làm sao và thực hiện POST thì làm sao ?

Tìm câu trả lời cho từng câu hỏi trên, thì vấn đề sẽ sáng tỏ ngay mà còn thu thêm được nhiều kiến thức căn bản ( mà quan trọng vô cùng ). Dĩ nhiên bồ phải tự tìm hiểu thì mới nắm rõ được, một reply không bao giờ nói hết được, nên đừng cố mong chờ một reply có sẵn câu trả lời hoàn hảo
iJust clear, "What I need to do and how to do it"/i
br
brBox tán gẫu dời về: http://www.facebook.com/hvaonline
[Up] [Print Copy]
  [Question]   Nên dùng phương thức + công cụ nào cho các trang login kiểu này? 12/09/2011 02:42:13 (+0700) | #3 | 246877
[Avatar]
 conmale
Administrator
Joined: 07/05/2004 23:43:15
Messages: 9353
Location: down under
Offline
[Profile] [PM]
Muốn biết một trang cụ thể nào đó nhận POST hay GET thì cách dễ nhất là dùng một công cụ như HttpWatch hoặc tài một "intercepted proxy" (như Burp chẳng hạn) để quan sát thông tin được gởi đi từ trình duyệt.

Muốn "hắc" mà không hiểu rõ những cái hết sức căn bản thuộc về cái mình "hắc" thì 100 năm cũng sẽ loay hoay. Không biết cho đến chừng nào các "wannabie" ngô ra được điều này nữa.
What bringing us together is stronger than what pulling us apart.
[Up] [Print Copy]
  [Question]   Nên dùng phương thức + công cụ nào cho các trang login kiểu này? 12/09/2011 08:07:41 (+0700) | #4 | 246887
naxinax
Member
[Minus]    0    [Plus]
Joined: 09/09/2011 20:40:33
Messages: 2
Offline
[Profile] [PM]
Em cảm ơn Mod và Ad đã trả lời. Ad chửi mình nhưng cuối cùng cũng cho bik cái HttpWatch, thank Ad smilie). Thôi em "ngâm cứu" tiếp đây smilie)
[Up] [Print Copy]
  [Question]   Nên dùng phương thức + công cụ nào cho các trang login kiểu này? 12/09/2011 08:26:04 (+0700) | #5 | 246891
[Avatar]
 conmale
Administrator
Joined: 07/05/2004 23:43:15
Messages: 9353
Location: down under
Offline
[Profile] [PM]

naxinax wrote:
Em cảm ơn Mod và Ad đã trả lời. Ad chửi mình nhưng cuối cùng cũng cho bik cái HttpWatch, thank Ad smilie). Thôi em "ngâm cứu" tiếp đây smilie


Dù có "cho" bồ 1000 cái "tools" đi chăng nữa nhưng cái nền căn bản không có thì cũng vô ích. Bây giờ thì bồ không hiểu nhưng sau này bồ sẽ hiểu.
What bringing us together is stronger than what pulling us apart.
[Up] [Print Copy]
  [Question]   Nên dùng phương thức + công cụ nào cho các trang login kiểu này? 12/09/2011 15:47:39 (+0700) | #6 | 246932
hachoa59
Member
[Minus]    0    [Plus]
Joined: 11/09/2011 23:49:01
Messages: 9
Offline
[Profile] [PM]
GET là lấy về
POST là gửi đi
Mình hiểu đơn giản là thế
[Up] [Print Copy]
  [Question]   Nên dùng phương thức + công cụ nào cho các trang login kiểu này? 12/09/2011 23:31:59 (+0700) | #7 | 246965
[Avatar]
 chiro8x
Member
[Minus]    0    [Plus]
Joined: 26/09/2010 00:38:37
Messages: 661
Location: /home/chiro8x
Offline
[Profile] [PM] [Yahoo!]
This post is set hidden by a moderator because it may be violating forum's guideline or it needs modification before setting visible to members.
while(1){}
[Up] [Print Copy]
  [Question]   Nên dùng phương thức + công cụ nào cho các trang login kiểu này? 12/09/2011 23:35:15 (+0700) | #8 | 246966
[Avatar]
 chiro8x
Member
[Minus]    0    [Plus]
Joined: 26/09/2010 00:38:37
Messages: 661
Location: /home/chiro8x
Offline
[Profile] [PM] [Yahoo!]
This post is set hidden by a moderator because it may be violating forum's guideline or it needs modification before setting visible to members.
while(1){}
[Up] [Print Copy]
  [Question]   Nên dùng phương thức + công cụ nào cho các trang login kiểu này? 15/09/2011 13:31:37 (+0700) | #9 | 247173
dang113
Member
[Minus]    0    [Plus]
Joined: 04/09/2008 12:31:53
Messages: 76
Offline
[Profile] [PM] [Yahoo!]
Theo sự hiểu gà mờ của mỉnh thì nếu sử dụng GET hoặc POST trong form thì bác cứ nhìn trên thanh địa chỉ trình duyệt sẽ thấy dùng GET hoặc POST.
Không chấp nhận vội vã.
[Up] [Print Copy]
  [Question]   Nên dùng phương thức + công cụ nào cho các trang login kiểu này? 16/09/2011 20:16:53 (+0700) | #10 | 247266
jin9x
Member
[Minus]    0    [Plus]
Joined: 18/05/2009 21:32:11
Messages: 28
Location: đâu đó
Offline
[Profile] [PM] [Yahoo!]

hachoa59 wrote:
GET là lấy về
POST là gửi đi
Mình hiểu đơn giản là thế 

hiểu vậy là sai rồi đấy GET và POST là kiểu truyền dữ liệu, có gửi dữ liệu đi và có nhận dữ liệu trả về

dang113 wrote:
Theo sự hiểu gà mờ của mỉnh thì nếu sử dụng GET hoặc POST trong form thì bác cứ nhìn trên thanh địa chỉ trình duyệt sẽ thấy dùng GET hoặc POST.
 

nhìn kĩ cái này để phân biệt
<form name="form1" method="post" action="Default.aspx" id="form1">
<div>
<input type="hidden" name="__EVENTTARGET" id="__EVENTTARGET" value="" />
<input type="hidden" name="__EVENTARGUMENT" id="__EVENTARGUMENT" value="" />
<input type="hidden" name="__VIEWSTATE" id="__VIEWSTATE" value="/wEPDwUKMTUyNzUzNTM5OGRkYpxbYf/8X27Ez4G2MA+epsHroa0=" />
</div>  
tiền là giấy ,thấy là lấy ...
[Up] [Print Copy]
  [Question]   Nên dùng phương thức + công cụ nào cho các trang login kiểu này? 05/10/2011 09:24:18 (+0700) | #11 | 248163
Mr.Cool1987
Member
[Minus]    0    [Plus]
Joined: 25/12/2010 11:00:33
Messages: 15
Offline
[Profile] [PM] [Yahoo!]
thường thì người ta dung Post chứ ích dùng phương thức Get (hầu như 0)
vì chế độ bảo mật thôi-------
cậu demo rồi sẽ thấy ngay.
chúc vui.......! smilie
♥ Nguyễn Thành Luân ♥
[ To the world, you maybe a person. But to a person, you maybe whole the world ! ]
[Up] [Print Copy]
[digg] [delicious] [google] [yahoo] [technorati] [reddit] [stumbleupon]
Go to: 
 Users currently in here 
1 Anonymous

Powered by JForum - Extended by HVAOnline
 hvaonline.net  |  hvaforum.net  |  hvazone.net  |  hvanews.net  |  vnhacker.org
1999 - 2013 © v2012|0504|218|