+ Responder ao Tópico



  1. #1
    lrezende
    Visitante

    Padrão autenticação...

    oi turma...

    estou querendo fazer um autenticação via apache desse tipo...

    AuthType Basic
    AuthName "Relatórios"
    AuthUserFile /etc/htpasswords
    Require user reports

    está funcionando tudo blz!

    vi no site do apache que esse tipo de autenticação não era segura... e que a senha navegava em texto plano... porém, via tcpdump, não consegui ver a senha passando... ? pq? tudo bem, eu aceito que não seja seguro, porém quero saber como!

    vejo todos os pacotes porém não vejo a senha!
    vejo algo do tipo Basic =d80d87afsdasf332 (esse foi chute)... isso é o usuário e senha? encriptado?

    abraços...
    Leo

  2. #2
    glasswalk3r
    Visitante

    Padrão autenticação...

    via tcpdump você consegue capturar as senhas sim... mas você vai ter que entender a sequencia e ler o conteúdo dentro dos pacotes.

    se você quer ter certeza que é inseguro, teste o dsniff. ele vai capturar login/senha e exibir para você.



  3. #3
    glasswalk3r
    Visitante

    Padrão autenticação...

    <TABLE BORDER=0 ALIGN=CENTER WIDTH=85%><TR><TD><font size=-1>Quote:</font><HR></TD></TR><TR><TD><FONT SIZE=-1><BLOCKQUOTE>
    On 2003-07-03 08:18, lrezende wrote:
    oi turma...

    estou querendo fazer um autenticação via apache desse tipo...

    AuthType Basic
    AuthName "Relatórios"
    AuthUserFile /etc/htpasswords
    Require user reports

    está funcionando tudo blz!

    vi no site do apache que esse tipo de autenticação não era segura... e que a senha navegava em texto plano... porém, via tcpdump, não consegui ver a senha passando... ? pq? tudo bem, eu aceito que não seja seguro, porém quero saber como!

    vejo todos os pacotes porém não vejo a senha!
    vejo algo do tipo Basic =d80d87afsdasf332 (esse foi chute)... isso é o usuário e senha? encriptado?

    abraços...
    Leo

    </BLOCKQUOTE></FONT></TD></TR><TR><TD><HR></TD></TR></TABLE>

    sim, vc achou a senha. ela não criptografada. está apenas codificada num padrão de envio de formulários. só não lembro o nome direito, algo como code 64... uma linha de comando executa em Perl e você consegue a senha.

  4. #4
    lrezende
    Visitante

    Padrão autenticação...

    eu já olho com o tcpdump -X... ele olha dentro do pacote....
    de qualquer forma vou estudar o dsniff...

    pelo que vc disse, eu só preciso de uma função decode64 pra desfazer o encode64 né isso?



  5. #5
    glasswalk3r
    Visitante

    Padrão autenticação...

    existe um módulo em Perl que verifica isso. Vá em www.cpan.org, vá em documentação e procure nas faqs sobre networking que vc acha isso.

    mas é mais fácil usar o dsniff: ele faz isso tudo pra vc.

  6. #6
    lrezende
    Visitante

    Padrão autenticação...

    oi...
    resolvido...
    no pacote passa uma string "Basic dhc63nchs44ssad==" mais ou menos assim...
    essa string maluca depois do Basic é o seu usuário e senha na base64...
    é só fazer um decode_base64 e pronto!
    sai lá usuario:senha

    valeu pela dica... de qualquer forma vou estudar o dsniff... é que eu gosto do caminho da pedras... entender o que se passa... apesar de saber pouco...