ארכיון רד-בורד: עזרה בהבנת שליחת המידע בדפדפן

ראשי > אבטחת מידע > עזרה בהבנת שליחת המידע בדפדפן

25/12/2004 19:45:44 Crucher

יש משהו אחד שלא מצאתי עליו טקסטים בכלל וזה שליחת מידע.
מה זה Get , Post ,Method
והדפדפן הזה MiniBrowser כיצד הוא יכול לעזור במציאת חורי אבטחה?!

25/12/2004 20:17:49 squall

תקרא את ה-RFC של פרוטוקול ה-HTTP.

25/12/2004 20:40:06 cp77fk4r

לא מצאת עלי זה טקסטים? חיפשת בכלל?
:\
דבר ראשון, זה הלינק הראשון בגוגל בחיפוש אחר הערך "Get+Post".

http://www.cs.tut.fi/~jkorpela/forms/methods.html

דבר שני, יש לך טעות קטנה בשאלה אחי, Get וPost הם סוג של Method (שיטה), הMethod לא מסמל משהו מסויים כמו הGet והPost, זה כמו שתשאל "מה זה 1,2 מספרים", ה1 וה2 הם מספרים.

קאפיש?

ובקשר לMiniBrowser - הוא לא נועד למציאת חורי אבטחה, אבל בגלל שהוא מראה לך את המידע שנשלח מהדפדפן שלך, אתה יכול לנסות לערוך אותו- ולפעמים כשנשלח מידע מסויים שאתה לא יודע- אתה יכול לנסות לערוך אותו, זה עוזר בכל מני מקרים, אבל לרב האתרים מוגנים מפני זה ובודקים כל קלט שנכנס מהטפסים שאתה ממלא שם.
מה גם שהוא עוזר בלערוך את הקוקיז שלך, ישנם מספר חורי אבטחה שזה עוזר, למשל אם ביצעת גניבת קוקיז, כמובן שאפשר להסתדר בלעדיו, אבל איך שנח לך...
את הקוקיז אפשר לערוך בעורכי קוקיז שקיימים במיוחד בשביל הפעולה הזאת- והם הרבה יותר מקצועיים ובעלי הרבה יותר אפשרויות, ואת מה שאתה שולח מהדפדפן בטפסים שאתה ממלא- אתה תמיד יכול לראות בעזרת הקוד מקור.

לסיכום- הדפדפן לך עוזר לגלות חורי אבטחה, אבל הוא עוזר לנצל כאלה שכבר מצאת.[ההודעה נערכה על-ידי cp77fk4r ב-25/12/2004 21:00:20]

25/12/2004 21:15:22 Crucher

תודה על התשובה המהירה אחי..
תכול אולי לתת דוגמה לחור אבטחה שאתה מכיר שבעזרת הדפדפן הזה ניצלת אותו?

25/12/2004 22:56:09 cp77fk4r

בעזרת הדפדפן הזה? לא.. אני לא משתמש בו.

אבל חור אבטחה לדוגמא שהוא עוזר לנצל זה למשל אם אתה ממלא טופס, ואין פילטר באותה המערכת לנתונים שם- אתה יכול להכניס איזה נתונים שאתה רוצה, אם למשל זה להצביע לאיזה מקום, ויש לך בחירה של 1,2,3,4 או 5, וזה מוגבל רק באינטרפייס, ולא במערכת עצמה- אז אתה יכול לערוך את הניקוד שיהיה אפילו 10000... מבין?

26/12/2004 08:10:26 Crucher

מבין בערך.
אם אין פילטר הכונה שאני יכול לבחור לאיזה דף להגיע!?
ומזתומרת מוגבל רק באינטרפרייס?!
ומה הכונה בניקוד 10000?!

26/12/2004 22:55:44 Crucher

תענה לי על השאלה שכתבתי ועוד משהו.
קראתי על הגט ופוסט ולא הבנתי ממש.
מזתומרת שליחה דרך שורת היו אר אל.!?
ולמה פוסט בעיקרון יותר מאובטח וטוב יותר לשליחת סיסמאות.!?
בכלל בשביל מה יש גם גט וגם פוסט למה לא להשתמש באחד מהם?!

27/12/2004 00:04:03 cp77fk4r

אחי, תשמע רגע, אתה מנסה להתקדם מהר מדי, אתה מנסה להכנס לעולם בלי שיהיה לך בסיס...

כשכתבתי "אין פילטר" התכוונתי שאין מנוע שבודק את הקלט שנכנס.
מוגבל רק באינטרפייס- זה שרק בתצוגה של האתר (מה שאתה רואה) אין לך למשל תיבת טקסט, אבל אם תיצור אחת כזאת (ע"י הורדת העמוד, עריכתו, והשמתו בשרת שלך- מקושר לאותו מנוע שאליו נשלח הטופס המקורי) אתה תהיה מסוגל להכניס ערכים אחרים.
ניקוד 10000 זה סתם משהו העלתי, נתתי דוגמא, אם אתה למשל צריך לדרג אתר מסויים, ואתה יכול לתת לו רק 5 נקודות הכי הרבה, ואתה רוצה לתת יותר (כי למשל זה האתר שלך- ואתה רוצה שהוא יהיה מקום ראשון), אז אם יש את הבאג שציינתי קודם- אתה תוכל לערוך את העמוד (ולבצע את שאר מה שכתבתי למעלה) ואז לתת ניקוד יותר גבוה.
שורת הURL זאת השורה שבה אתה רואה את הכתובת בדפדפן שלך, והכנסת פרמטרים דרך השורה הזאת היא פשוט ע"י הקלדתם בתוך הכתובת.
פוסט יותר מאובטח- בדיוק בגלל הסיבה שהוא לא מעביר את הנתונים דרך שורת הכתובת, ככה שאתה לא רואה אותם שם.
ויש את שניהם בגלל שכל אחד טוב לדברים אחרים.

שמע, אני ממש ממליץ לך לעזוב את נושא ההאקינג לבינתיים, אתה צריך בסיס, הרבה בסיס...

27/12/2004 07:50:06 Crucher

חחח הבנתי למה אתה מתכון..
הדבר היחיד שלא הבנתי זה למה להשתמש גם בגט ולא רק בפוסט.
כל השאר הבנתי כבר.

ושוב בסיס בסיס בסיס.
מאיפה אני ישיג בסיס?!

27/12/2004 15:06:26 cp77fk4r

תיראה, את המושג "שורת הכתובת" אתה אמור לדעת מסתם גלישה...
אני מניח שאת הבסיס אתה מקבל אחרי זמן מסויים שאתה סתם מתעסק באינטרנט ובמחשבים..

זה כמו שאתה יודע מה זה "המחשב שלי", ו"סל מחזור" ע"י סתם התעסקות במחשב שלך..

27/12/2004 15:57:19 Crucher

בעע לא צריך לזלזל.
הבנתי מה זה שורת כתיבה אני לא עד כדי כך מוגבל.
בכל מקרה אחי אני לא ירד ממך בקטע של העזרה, אני ימשיך לשאול עד שאני ידע הכל מה לעשות אני פרנואיד אתה רוצה לעזור תעזור אתה לא רוצה אני לא מכריח, אם אני משגע לפעמים זה כי אני באמת רוצה לדעת והמחשבה על זה שיש משהו קראתי ולא הבנית בגרוש מה כתוב מחרפנת אותי.
אני עוד מעט יתחיל ללמוד רשתות אבל עד אז אנ יצטרך את העזרה שלכם כדי להבין כמה דברים..

והבנתי את ההבדלים בין גט לפוסט תודה.

27/12/2004 16:58:54 cp77fk4r

לא אחי.. אני לא מזלזל, מצטער אם זה היה נשמע ככה... לא הייתה לי כוונה לזלזל.

ואני שמח לענות לך על השאלות, אבל אני חושב שלפעמים כדי גם לנסות לבדוק לבד דברים, ככה אתה גם לומד הכי הרבה- וככה אתה גם נתקל בדברים אחרים שאתה לומד, כי אם אתה שואל שאלה ספציפית- אתה מקבל תשובה ספציפית, אם אתה שואל את גוגל- אתה לא תקבל תשובה ספציפית, ולכן תלמד עוד הרבה דברים מסביב לזה... מבין מה אני אומר?

אין לי בעיה לענות לך על כל שאתה שתרצה, אבל אני רוצה גם לשמור פה על רמה מסויימת, היא לא הכי גבוהה, אבל אני מעדיף בינתיים לנסות להשאיר את זה ככה- וכשאני אתפנה ויהיה לי יותר זמן פנוי לנסות שוב לעלות פה את הרמה.
מקסימום אחי- אם יש פה שאלה ששאלת ומחקתי, אתה יכול לעשות מה שהרבה מהפורום עושים- שואלים אותי בפרטי, אאל תתבייש ותרגיש חופשי לשאול אותי בפרטי על כל מושג שאתה נתקל בו.

ושוב, מצטער אם זילזלתי.

27/12/2004 18:40:10 type_o

man, stop asking before reading

http version 1.1 - rfc 2616

http://www.ietf.org/rfc/rfc2616.txt

27/12/2004 22:17:49 Crucher

אתם רוצים רמה?!
תנו נעוצים של שאלות נפוצות.
והרמה פה בכלל אל רעה.

27/12/2004 23:17:30 cp77fk4r

אם אתה רוצה- פתחתי במיוחד בשביל שאלות כמו שלך אשכול:
http://www.red-board.co.il/forum/topic.asp?tid=9585

כנס לשם, ותרגיש חופשי לשאול כל שאלה שעולה לך.

עמודים: 1