Página 1 de 2 12 ÚltimoÚltimo
+ Responder ao Tópico



  1. #1
    lrezende
    oi turma...

    estou querendo fazer um autenticação via apache desse tipo...

    AuthType Basic
    AuthName "Relatórios"
    AuthUserFile /etc/htpasswords
    Require user reports

    está funcionando tudo blz!

    vi no site do apache que esse tipo de autenticação não era segura... e que a senha navegava em texto plano... porém, via tcpdump, não consegui ver a senha passando... ? pq? tudo bem, eu aceito que não seja seguro, porém quero saber como!

    vejo todos os pacotes porém não vejo a senha!
    vejo algo do tipo Basic =d80d87afsdasf332 (esse foi chute)... isso é o usuário e senha? encriptado?

    abraços...
    Leo

  2. #2
    glasswalk3r
    via tcpdump você consegue capturar as senhas sim... mas você vai ter que entender a sequencia e ler o conteúdo dentro dos pacotes.

    se você quer ter certeza que é inseguro, teste o dsniff. ele vai capturar login/senha e exibir para você.



  3. #3
    glasswalk3r
    <TABLE BORDER=0 ALIGN=CENTER WIDTH=85%><TR><TD><font size=-1>Quote:</font><HR></TD></TR><TR><TD><FONT SIZE=-1><BLOCKQUOTE>
    On 2003-07-03 08:18, lrezende wrote:
    oi turma...

    estou querendo fazer um autenticação via apache desse tipo...

    AuthType Basic
    AuthName "Relatórios"
    AuthUserFile /etc/htpasswords
    Require user reports

    está funcionando tudo blz!

    vi no site do apache que esse tipo de autenticação não era segura... e que a senha navegava em texto plano... porém, via tcpdump, não consegui ver a senha passando... ? pq? tudo bem, eu aceito que não seja seguro, porém quero saber como!

    vejo todos os pacotes porém não vejo a senha!
    vejo algo do tipo Basic =d80d87afsdasf332 (esse foi chute)... isso é o usuário e senha? encriptado?

    abraços...
    Leo

    </BLOCKQUOTE></FONT></TD></TR><TR><TD><HR></TD></TR></TABLE>

    sim, vc achou a senha. ela não criptografada. está apenas codificada num padrão de envio de formulários. só não lembro o nome direito, algo como code 64... uma linha de comando executa em Perl e você consegue a senha.

  4. #4
    lrezende
    eu já olho com o tcpdump -X... ele olha dentro do pacote....
    de qualquer forma vou estudar o dsniff...

    pelo que vc disse, eu só preciso de uma função decode64 pra desfazer o encode64 né isso?



  5. #5
    glasswalk3r
    existe um módulo em Perl que verifica isso. Vá em www.cpan.org, vá em documentação e procure nas faqs sobre networking que vc acha isso.

    mas é mais fácil usar o dsniff: ele faz isso tudo pra vc.






Tópicos Similares

  1. autenticação do ncsa_auth no RedHat 8 naum funciona
    Por Elvis no fórum Servidores de Rede
    Respostas: 0
    Último Post: 22-10-2002, 02:01
  2. Autenticação SMTP
    Por neurobashing no fórum Servidores de Rede
    Respostas: 0
    Último Post: 16-08-2002, 16:54
  3. autenticaçao no QMAIL - HELP
    Por SnifferSp no fórum Servidores de Rede
    Respostas: 0
    Último Post: 15-08-2002, 08:01
  4. autenticação wireless
    Por eclaudin no fórum Redes
    Respostas: 0
    Último Post: 02-08-2002, 16:02
  5. Autenticação no Linux
    Por mcsbws no fórum Servidores de Rede
    Respostas: 1
    Último Post: 26-06-2002, 20:28

Visite: BR-Linux ·  VivaOLinux ·  Dicas-L