Webmaster

Atak metodą brute-force przy użyciu THC-HYDRA

2

Artykuł przygotowany w ramach Studium Ataków i Incydentów na WAT, co tłumaczy również format w jakim powstał. W sprawozdaniu relacjonuję przebieg rekonesansu i sposób przeprowadzenia ataku metodą słownikową brute-force. Swoją drogą bardzo spodobało mi się znalezione na stronie Wikipedii pod hasłem “Atak brute-force” zdanie:

“Jest to zwykle nieoptymalna, ale najprostsza do zaimplementowania i najbardziej skuteczna metoda postępowania (ponieważ teoretycznie pozwala ona złamać każde hasło – praktycznie może to potrwać nawet tysiące i miliony lat).”

Nieoptymalna, bo właśnie może bardzo długo trwać. Najprostsza, bo wystarczy wskazać, gdzie “wklepywać” kolejne pary poświadczeń w nadziei na pomyślną autoryzację dostępu. I tutaj najlepsze. Jest to metoda najbardziej skuteczna. Nawet gdyby miało to trwać miliony lat, nadal jest to skuteczna metoda ;-) Prawie jak granice w matematyce. Wartość funkcji nawet przy niewyobrażalnie dużym parametrze do swojej granicy nie dobrnie, jednak przy parametrze dążącym do nieskończoności i owszem. Do artykułu odsyłam na docs.google.com lub wersji PDF do pobrania:

  • Atak metodą słownikową (brute force) przy użyciu THC-HYDRA [pobierz] [podgląd]

Strona informacyjna kwiatek.org

0

Ponieważ niniejszy blog działa pod jedną z subdomen kwiatek.org, nie mógłbym nie wspomnieć o nowopowstałej stronie informacyjnej domeny. W ramach domeny działa kilka aktywnych adresów e-mail oraz stron internetowych. Zebrałem w jedno miejsce większość najważniejszych informacji przydatnych użytkownikom jak i osobom z zewnątrz. Strona jest dostępna pod adresem głównym www.kwiatek.org.

Przy okazji chciałbym też wspomnieć o OSWD. Projekt OSWD (Open Source Web Design) skupia w jednym miejscu tysiące szablonów stron internetowych, opatrzonych licencjami zaliczanymi do otwartych. Prawdziwa kopalnia szat graficznych do stron, bez większych restrykcji do ich użycia. Polecam.

I jeszcze jedno… Lekką stronę internetową kwiatek.org hostuje OVH na darmowym hostingu Start1M (1MB przestrzeni, nielimitowany transfer) dołączanym do każdej utrzymywanej na serwerach OVH domeny. Mnie coś takiego w zupełności wystarcza, dlatego postanowiłem ją tam osadzić. W szablon wplotłem odrobinę PHP i wraz z tym chciałem uruchomić na tym serwerze Mod_Rewrite. Otóż uprzedzam, abyście nie marnowali czasu na poszukiwania odpowiedzi, czy pisanie maili do supportu OVH. Start1M w OVH nie zezwala na włączanie Mod_Rewrite i nie zgłasza błędów przy próbie uruchomienia go.

big-windows-logo-wallpaper

Windows 7 – uszkodzony plik Excel generowany przez PHPExcel 1.7.0

0

Jeśli do tej pory webdeveloperzy, którzy generują pliki Excel w wersji Ms Excel 2003 (.XLS) przy pomocy PHPExcel w wersji 1.7.0 byli zadowoleni z działania tego pakietu mogą być niemile zaskoczeni podczas próby otwarcia wygenerowanego arkusza pod kontrolą nowego systemu Windows 7.

(more…)

php-mysql

UMS 0.1 – System Zarządzania Użytkownikami (PHP)

6

Po kilku dniach pracy postanowiłem wydać do testów, pierwszą rozwojową wersję aplikacji webowej UMS (User Management System).

Strona domowa projektu
http://piotr.kwiatek.org/projekty/ums

Jako, że jest to pierwsze wydanie pozwolę sobie napisać nieco więcej. Kolejne wpisy tego dziennika zmian będą miały charakter skromnego changelog’a z opisem poprawek i nowych funkcji, które zostały wprowadzone.

Dlaczego aplikacja powstała?

System powstał na potrzeby jednej z firm, dla której pracuję, jednak prawa do aplikacji zatrzymałem dla siebie, dzięki czemu wszyscy możecie z niej korzystać zgodnie z warunkami licencji, pod którą została wydana.

Cele

Aplikacja ma za zadanie spełniać podstawowe funkcje panelu zarządzania użytkownikami oraz monitorować aktywność użytkowników na stronie internetowej. Dla przedsiębiorcy, który zamówił u mnie tą aplikację najważniejszym z celów było zabezpieczenie strony internetowej przed dostępem osób trzecich, a udostępnienie jej na hasło wybranym agencjom. Dzięki takiemu rozwiązaniu właściciel witryny może kontrolować:

  • który użytkownik najczęściej przegląda witrynę
  • jakie strony odwiedzał użytkownik, oraz który produkt najczęściej przegląda
  • jakie produkty są najczęściej przeglądane ogółem

A także korzystając z panelu zarządzania użytkownikami może kontrolować dostęp konkretnych użytkowników wykorzystując mechanizmy banowania oraz zmiany hasła.

Zalety

  • Darmowy
  • Łatwy w instalacji
  • OpenSource

Jak to działa? (DEMO)

Pobierz tą wersję

(more…)

php-mysql

PHP – pobieranie adresu MAC

7

Wielu administratorów sieci LAN wprowadza filtrację adresów MAC i ustawia reguły przydzielania adresów IP w zależności od adresu fizycznego karty sieciowej. W małych sieciach można zrobić to “na piechotę”, jednak tam gdzie pracuje ponad 200 leniwy inżynier stara się ułatwić sobie życie.

(more…)

Go to Top