- autenticação...
+ Responder ao Tópico
-
autenticação...
oi turma...
estou querendo fazer um autenticação via apache desse tipo...
AuthType Basic
AuthName "Relatórios"
AuthUserFile /etc/htpasswords
Require user reports
está funcionando tudo blz!
vi no site do apache que esse tipo de autenticação não era segura... e que a senha navegava em texto plano... porém, via tcpdump, não consegui ver a senha passando... ? pq? tudo bem, eu aceito que não seja seguro, porém quero saber como!
vejo todos os pacotes porém não vejo a senha!
vejo algo do tipo Basic =d80d87afsdasf332 (esse foi chute)... isso é o usuário e senha? encriptado?
abraços...
Leo
-
autenticação...
via tcpdump você consegue capturar as senhas sim... mas você vai ter que entender a sequencia e ler o conteúdo dentro dos pacotes.
se você quer ter certeza que é inseguro, teste o dsniff. ele vai capturar login/senha e exibir para você.
-
autenticação...
<TABLE BORDER=0 ALIGN=CENTER WIDTH=85%><TR><TD><font size=-1>Quote:</font><HR></TD></TR><TR><TD><FONT SIZE=-1><BLOCKQUOTE>
On 2003-07-03 08:18, lrezende wrote:
oi turma...
estou querendo fazer um autenticação via apache desse tipo...
AuthType Basic
AuthName "Relatórios"
AuthUserFile /etc/htpasswords
Require user reports
está funcionando tudo blz!
vi no site do apache que esse tipo de autenticação não era segura... e que a senha navegava em texto plano... porém, via tcpdump, não consegui ver a senha passando... ? pq? tudo bem, eu aceito que não seja seguro, porém quero saber como!
vejo todos os pacotes porém não vejo a senha!
vejo algo do tipo Basic =d80d87afsdasf332 (esse foi chute)... isso é o usuário e senha? encriptado?
abraços...
Leo
</BLOCKQUOTE></FONT></TD></TR><TR><TD><HR></TD></TR></TABLE>
sim, vc achou a senha. ela não criptografada. está apenas codificada num padrão de envio de formulários. só não lembro o nome direito, algo como code 64... uma linha de comando executa em Perl e você consegue a senha.
-
autenticação...
eu já olho com o tcpdump -X... ele olha dentro do pacote....
de qualquer forma vou estudar o dsniff...
pelo que vc disse, eu só preciso de uma função decode64 pra desfazer o encode64 né isso?
-
autenticação...
existe um módulo em Perl que verifica isso. Vá em www.cpan.org, vá em documentação e procure nas faqs sobre networking que vc acha isso.
mas é mais fácil usar o dsniff: ele faz isso tudo pra vc.
-
autenticação...
oi...
resolvido...
no pacote passa uma string "Basic dhc63nchs44ssad==" mais ou menos assim...
essa string maluca depois do Basic é o seu usuário e senha na base64...
é só fazer um decode_base64 e pronto!
sai lá usuario:senha
valeu pela dica... de qualquer forma vou estudar o dsniff... é que eu gosto do caminho da pedras... entender o que se passa... apesar de saber pouco...
Citação