Hi các bạn.
Mình đang tìm hiểu về bảo mật cho web. Hiện nay, theo như mình tìm hiểu được biết password login thường được md5 ở client rồi gửi lên server authencation theo md5 lưu trên db. Mình có một thắc mắc nhỏ. Giả sử mình đã có xâu md5 của password ở client rồi thì có cách nào mình lách qua được hàm md5 password tại client mà gửi thẳng xâu md5 password mình nhập vào tới server không? Vì như bình thường thì xâu password được md5 ở client theo một hàm js đã có.
Thank các bạn. 

Giả sử mình đã có xâu md5 của password ở client rồi thì có cách nào mình lách qua được hàm md5 password tại client mà gửi thẳng xâu md5 password mình nhập vào tới server không? 

Mình đang tìm hiểu về bảo mật cho web. 

Sao không? Muốn lách thì cứ post thẳng payload của form đăng nhập mà thôi. Có điều "xâu md5" mà bồ muốn gởi thằng đến server (không dùng md5.js) liệu có trùng với giá trị md5 của password được lưu trên CSDL ở máy chủ hay không thôi. Muốn "post thẳng" như thế nào thì thử google "http interceptor". 

phanmemviet wrote:

Giả sử mình đã có xâu md5 của password ở client rồi thì có cách nào mình lách qua được hàm md5 password tại client mà gửi thẳng xâu md5 password mình nhập vào tới server không? 

Bác hỏi câu này làm em không hiểu bác dựa vào cái gì để

phanmemviet wrote:

Mình đang tìm hiểu về bảo mật cho web. 

Khả nghi à nha  

conmale wrote:

Sao không? Muốn lách thì cứ post thẳng payload của form đăng nhập mà thôi. Có điều "xâu md5" mà bồ muốn gởi thằng đến server (không dùng md5.js) liệu có trùng với giá trị md5 của password được lưu trên CSDL ở máy chủ hay không thôi. Muốn "post thẳng" như thế nào thì thử google "http interceptor". 

Hi bạn. Bạn có thể hướng dẫn qua cho mình về sử dụng phần mềm đó không? Quá trình post như vậy mình lấy thông tin trả về bằng cách nào? Với cách này thì mình có giải quyết được trường hợp sử dụng ký tự CAPTCHAR không? Vì khi sinh CAPTCHAR thì server đã lưu trong session để đối chiếu với client rồi.
Thank. 

Ban đầu cứ gửi thẳng bằng một client hợp lệ mặc định (trong trường hợp này là browser) rồi sniff lại bằng wireshark, rồi bạn viết ra một cái client khác, copy theo cái mẫu lấy được trong wireshark, sửa lại một số trường theo ý bạn rồi gửi lên mà bug thử. 

Tớ có nói đến "phần mềm" nào đâu mà bồ muốn tớ "hướng dẫn sử dụng phần mềm"?

Tại sao ở trên là md5.js và bên dưới là sử dụng ký tự captcha gì đây?

Không nhất thiết server lưu giá trị captcha trong session để đối chiếu với client đâu. Có thể nó lưu trong một file nào đó hoặc trong memory của máy chủ không chừng. Vả lại, những thứ này chẳng có liên quan gì tới xâu md5 từ phía client hết. 

conmale wrote:

Tớ có nói đến "phần mềm" nào đâu mà bồ muốn tớ "hướng dẫn sử dụng phần mềm"?

Tại sao ở trên là md5.js và bên dưới là sử dụng ký tự captcha gì đây?

Không nhất thiết server lưu giá trị captcha trong session để đối chiếu với client đâu. Có thể nó lưu trong một file nào đó hoặc trong memory của máy chủ không chừng. Vả lại, những thứ này chẳng có liên quan gì tới xâu md5 từ phía client hết. 

Ah. Thì search trên mạng thấy có phần mềm đó, nên tưởng phần mềm bạn muốn nói.
 

Uhm. Cái CAPTCHAR ở đây hiện tại nó lưu một session. Khi login server kiểm tra user + pass + captchar mới ok.Nếu mình chỉ post thẳng user + pass + captchar thì cũng không map được với cái captchar của session hiện thời. Mình vướng phần map với captchar trong session hiện thời đó. 

Những năm gần đây, có nhiều nhóm cố gắng qua mặt captcha bằng nhiều phương thức và một trong những phương thức phổ biến nhất là ứng dụng OCR để "đọc" được thông tin trên hình captcha và cung cấp giá trị ấy để thoả mãn cơ chế kiểm soát của captcha. Bởi vậy, những bộ phận captcha càng ngày càng được ứng dụng tinh vi hơn (thậm chí dùng sound cho captcha hoặc hình không gian 3 chiều cho captcha mà OCR chưa thể đọc và hiểu được). Nếu bồ cứ loay hoay ở chỗ dùng giá trị captcha có sẵn mà post thì bồ sẽ vường... forever . 

conmale wrote:

Những năm gần đây, có nhiều nhóm cố gắng qua mặt captcha bằng nhiều phương thức và một trong những phương thức phổ biến nhất là ứng dụng OCR để "đọc" được thông tin trên hình captcha và cung cấp giá trị ấy để thoả mãn cơ chế kiểm soát của captcha. Bởi vậy, những bộ phận captcha càng ngày càng được ứng dụng tinh vi hơn (thậm chí dùng sound cho captcha hoặc hình không gian 3 chiều cho captcha mà OCR chưa thể đọc và hiểu được). Nếu bồ cứ loay hoay ở chỗ dùng giá trị captcha có sẵn mà post thì bồ sẽ vường... forever . 

Uhm. Cái tấn công OCR mà bạn nói là kiểu như tấn công sử dụng DOS. Ý mình muốn hỏi ở đây là có cách nào can thiệp vào session đó ko. Khi mà mình có tất cả các tham số: user, pass (cái này đã được mã hoá md5 và không giải ngược lại được nhé), captchar. Giờ muốn gửi can thiệp vào session hiện thời gửi các param này lên server. 

>>phanmemviet: Mình hiểu nhầm, đọc lại bài viết đầu tiên mình thấy là ko thể gửi thẳng xâu md5 đó lên cái app trên server (bởi vì cái app trên server sẽ md5 cái chuỗi md5 bạn gửi lên thêm một lần nữa) để qua mặt hệ thống kiểm tra được, tất nhiên trừ khi bạn can thiệp được vào server để thay đổi behaviour của cái app.
Trường hợp captcha thì lại khác, nếu bạn đã đọc được giá trị captchar bên client thì việc gửi lên để qua mặt cũng đơn giản thôi, cứ tuân thủ chặt chẽ theo RFC mà viết một client hoặc chịu khó google trên mạng. Mình nghĩ nếu bạn đủ khả năng phá captchar hay hack database để lấy md5 thì việc đó cũng ko khó khăn gì.

Edit: Về nguyên tắc, bạn muốn can thiệp vào một session đang xảy ra giữa server A và client B thì phải làm cho server "tưởng" bạn chính là B, vậy thì bạn phải có được thông tin mà server dùng để xác định B (như kiểu chứng minh nhân dân vậy) rồi gửi nó lên server trong lúc session đang xảy ra. Thông tin này thường là session ID, hoặc khắc nghiệt hơn, có thể là sự kết hợp thêm yếu tố khác, như IP chẳng hạn.
 

Haha, conmale sắp phát khùng với đám kid hacker này rồi. (lạc đề tí).
Bạn gì kia nên học thêm đi, để hack được (hoặc chống được), người ta phải học nhiều nhiều lắm. Nếu muốn biết có thể tấn công cái web gì xài md5 đó, nên học kỹ về HTTP, HTML, rồi thì web browser hay web client... rồi hẵng chiến đấu. 

myquartz wrote:

Haha, conmale sắp phát khùng với đám kid hacker này rồi. (lạc đề tí).
Bạn gì kia nên học thêm đi, để hack được (hoặc chống được), người ta phải học nhiều nhiều lắm. Nếu muốn biết có thể tấn công cái web gì xài md5 đó, nên học kỹ về HTTP, HTML, rồi thì web browser hay web client... rồi hẵng chiến đấu. 

Vấn đề ở chỗ chủ topic muốn ăn sẵn, muốn được hướng dẫn step by step, kiến thức không có nhưng muốn hack. Bác comale trả lời thêm một ý là lại phải hỏi thêm vì đọc có hiểu gì đâu, lại thấy mấy từ khoá mới nên đoán bừa, đoán đại ý bác conmale và lại phải hỏi tiếp