http://itblog.grono.net/articles/2007/05/28/utrudnianie-czy-bezpieczenstwo en-us 40 grono.net <p><strong>Zadanie</strong>: zalogować się na konto pocztowe w serwisie onet.pl.</p> <p><strong>Utrudnienia</strong>: zrobić to poprzez ich interfejs www, ale automatycznie (czyli konstruując i wysyłając requesty).</p> <p><strong>Teoria</strong>:</p> <p>Zwykle logowanie się polega na wypełnieniu formularza na jakiejś stronie, otrzymaniu przekierowania i przejściu na wskazany adres. Tak to działa np. w gronie.</p> <p><strong>Praktyka</strong>:</p> <ol> <li>Wchodzimy na http://poczta.onet.pl, dostajemy przekierowanie na /login.html.</li> <li>Teraz idziemy na sprytnie zamaskowany mechanizm otrzymywania cookiesów sesji, który jest ukryty pod jednym z obrazków.</li> <li>Otrzymujamy ciasteczka, postujemy na login.html dane autoryzacyjne. W nich są pola <em>user</em>, <em>username</em> czy <em>login</em> mamy &#8220;e&#8221;, a zamiast <em>password</em> jest pole &#8220;p&#8221;. </li> <li>Ponowine po paru redirectach wracamy na login.html z nowym ciasteczkiem.</li> <li>Ponownie wysłamy dane. Pojawiają się dwa nowe ciasteczka (sesja zaczyna robić się obszerna) </li> <li>Udało nam się zalogować.</li> </ol> <p><strong>Podsumowanie</strong></p> <ul> <li>ilość odwiedzonych stron: 4.</li> <li>łączna ilość requestów, wliczając redirecty: 9</li> <li>ilość otrzymanych ciasteczek: 7</li> <li>dane autoryzacyjne wysłane: 2 razy,</li> </ul> <p>Gdzie tu sens?</p> <p>Kerni</p> Mon, 28 May 2007 12:33:00 +0200 urn:uuid:71026d76-a056-4fc1-a70f-162f27e25010 Kasia http://itblog.grono.net/articles/2007/05/28/utrudnianie-czy-bezpieczenstwo python <p>Przed chwilą musiałem napisać to samo, też się zdziwiłem ilością otrzymanych ciastek, redirectów, no, a potem sobie przypomniałem, że kiedyś czytałem na <em>którymś</em> blogu, że <em>ktoś</em> miał identyczne spostrzeżenia :)).</p> Fri, 24 Aug 2007 17:50:01 +0200 urn:uuid:d5234fff-9828-4217-a9bb-bc31379a4a36 http://itblog.grono.net/articles/2007/05/28/utrudnianie-czy-bezpieczenstwo#comment-384 <p>Hehe a ja się zastanawiałem, dlaczego gdy korzystam z webmailu onetowego dwa razy muszę podawać hasło ;]</p> Wed, 06 Jun 2007 23:16:40 +0200 urn:uuid:12a826cb-e3bd-4e66-84d8-c3ca17cd2146 http://itblog.grono.net/articles/2007/05/28/utrudnianie-czy-bezpieczenstwo#comment-29 <p>a ciekawym, po co to zrobiliście? czy tylko tak dla hobby</p> Sat, 02 Jun 2007 17:06:02 +0200 urn:uuid:f4c0e61e-5cb0-47ed-921c-d5c7ab130ae3 http://itblog.grono.net/articles/2007/05/28/utrudnianie-czy-bezpieczenstwo#comment-12 <p>Bravissimo!</p> <p>Może przez umożliwimy zalogowanie poprzez nasze api? :-)</p> Wed, 30 May 2007 10:20:35 +0200 urn:uuid:438f3dd2-fab2-4f5b-b048-b01e41c09bfd http://itblog.grono.net/articles/2007/05/28/utrudnianie-czy-bezpieczenstwo#comment-2 <p>Brawo!</p> <p>Moze teraz w ramach otwarcia na świat udostepnimy skrypt logowania do onetu :)</p> Mon, 28 May 2007 14:06:27 +0200 urn:uuid:ebd1fc94-5e3a-4a44-9590-e98f610d8950 http://itblog.grono.net/articles/2007/05/28/utrudnianie-czy-bezpieczenstwo#comment-1