SEOSERVISE - Защита информации.

 
   
 

Главная


 


Приведенный сценарий достаточно прост. В строках 5—10 пользовательские имена и пароли загружаются в массивы. В строке 11 для изменения паролей вызывается функ­ ция permuted , которой в качестве параметра передается массив Swords . В строках 12, 13 и 14 создается объект LWP , который инициализируется с использованием адреса и порта proxy -сервера, а также URL -адреса http : //127.0.0.1:80. В двух вложенных циклах между строками 18 и 32 перебираются все комбинации имен пользователей и паролей. В стро­ке 23 генерируется запрос на аутентификацию HTTP , а в строке 24 этот запрос переда­ ется proxy -серверу. В строке 25 проверяется, получен ли ответ 200 ОК. Если такой ответ получен, то сценарий подбора паролей завершает свою работу. После запуска сценария имя пользователя и пароль удалось подобрать с 386-й по­ пытки! Вот несколько последних строк, сгенерированных сценарием в процессе работы. Пользовательскому имени admin соответствовал пароль 7 rav 31, который представлял собой "хакерскую" форму записи слов travel . Мэллори загрузил файл паролей, в кото­ром содержались слова acme , travel и некоторые другие распространенные пароли. Итак, Мэллори справился с аутентификацией. Теперь он мог настроить броузер Netscape для использования proxy -сервера 10.3.2.1:8001 и воспользоваться учетной записью admin /7 rav 31, чтобы проникнуть на Web -узел и приступить к его исследова­ нию. На рис. 9.6 показано, как Мэллори вводит в броузере регистрационные данные при обращении к узлу http ://127.0.0.1/ через proxy -сервер.

 

 

 

 

 

 
 

1 |2 |3 |4 |5 |6 |7 |8 |9 |10 |11 |12 |13 |14 |15 |16 |17 |18 |19 |20 |21 |22 |23 |24 |25 |26 |27 |28 |29 |30 |31 |32 |33 |34 |35 |36 |37 |38 |39 |40 |41 |42 |43 |44 |45 |46 |47 |48 |49 |50 |51 |52 |53 |54 |55 |56 |57 |58 |59 |60 |61 |62 |63 |64 |65 |66 |67 |68 |69 |70 |71 |72 |73 |74 |75 |76 |77 |78 |79 |80 |81 |82 |83 |84 |85 |86 |87 |88 |89 |90 |91 |92 |93 |94 |95 |96 |97 |98 |99 |100 |