Messages posted by: pdah

Có thể là do cache, bạn thử disable cache trong firefox, hoặc sau lần đăng nhập thứ nhất bị trả về trang chủ, bạn dùng tổ hợp phím Ctrl-F5 để reload without cache xem sao.

Thực ra việc tấn công theo kiểu parameter tampering đã quá cũ rồi và cũng chẳng có nhiều thứ để nghiên cứu. Nó phù hợp cho các bạn học về lập trình web hơn là về bảo mật mạng. Bạn henrytran xem đến đâu mà ko hiểu thì hỏi chứ tìm tài liệu về cái này thì chắc cũng chẳng ai còn đâu smilie

"Trang web" hay "Trang wed" ?

Mình góp ý ngoài lề 1 tý, cái poll này là giúp định hướng cho các bạn chưa biết gì về Perl và Python chọn lựa. Nên tốt nhất là chỉ có bác nào biết cả 2 rồi thì tick vào cho cái poll nó khách quan.

Bản thân mình học Python trước, sau đó mới học Perl. Mình chỉ dùng Perl khi cần viết script theo kiểu quick n dirty để xứ lý chuỗi trong files hoặc chơi nhiều với Regular Expression, còn lại mọi thứ đều dùng python.

Xét về khía cạnh "human readability" thì python cũng nhỉnh hơn hẳn, bạn có thể nhìn vào một số đoạn code của Python, tuy chưa biết gì về ngôn ngữ cũng có thể đoán được đoạn code đó để làm gì. Mình để ý thấy trên wikipedia, người ta vẫn hay dùng Python như là pseudo code để minh họa cho thuật toán.

Điểm mình thích nhất ở Python so với các ngôn ngữ còn lại là nó phân biệt block code bằng indent chứ không bằng cặp dấu { }, ai chơi với python thì "đã ko code thì thôi, code rồi là phải đẹp".

Bạn có thể xem thêm về phần quảng cáo cho Python của anh Nam "Trăng Xanh" tại BarCamp :
http://www.vithon.org/tintuc/python-ngon-ngu-lap-trinh-cho-phan-doi-con-lai )

Bạn nên post lý do và cách giải quyết lỗi của mình lên để mọi người rút kinh nghiệm smilie

Tốt nhất là bạn monitor network trước để lấy một mẩu HTTP POST REQUEST khi đăng nhập vào muare.vn ( bằng LiveHTTPHeader, 1 extension của firefox hoặc wireshark ... )
Sau đó cố gắng curl giả lập lại gần như chính xác gói tin đó là được. Kinh nghiệm của mình khi dùng curl thì các option về referer, user_agent thường hay được dùng để check, khi post thì enctype cũng cần được quan tâm.
Ngoài ra để ý đến request uri, enable cookie và follow_location.

Google cái câu lỗi này ra ngay cách giải quyết.

Thực ra cái diagram mà anh conmale vẽ ra chỉ là sự phân tách về mặt logic giữa các component mà thôi, chứ chưa hẳn là phân tách vật lý, cái web app có thể nằm trên một server thứ 3, mà cũng hoàn toàn có thể nằm cùng server với 1 trong 2 cái web instance, ai mà biết được smilie

Câu này chắc các anh admin sẽ không trả lời cho bạn đâu smilie

Tuy nhiên, việc dùng riêng 2 database và thực hiện write lên cả 2 là cách thiết kế không tốt, bạn có thể coi qua cơ chế Replication của các hệ cơ sở dữ liệu.

Bạn sử dụng hàm utf8_decode với chuỗi 'ô' trước.

Hiệu ứng đầu tiên sau khi upgrade là wicd bị thằng network-manager đè, báo hại phải kiếm source wicd build lại.

Đang nói về ettercap mà bạn.
Wireshark thì tất nhiên là thấy được hết rồi. Mình chỉ muốn filter để chỉ nhìn thấy các Post Request mà chưa biết dùng expression gì thôi.
Anyway, sau khi post bài thì mình tìm đc expression là
Code:

http.request.method == "POST"

Có ai đã dùng ettercap để sniff và kiểm tra trường hợp POST Request với fieldname khác username và password không ?

Mình có sử dụng qua ettercap để sniff với phương pháp ARP Poisoning và thấy tool này khá hạn chế trong việc sniff thông tin HTTP POST, nó chỉ bắt các POST Request trong đó có chứa username=...&password=...., nếu các trang web sử dụng các fieldname khác ( login=...., auth=.... hoặc pass=.... ) thì không bắt được.
Sử dụng Wireshark thì thấy được các gói tin nhưng mình ko biết cách filter để chỉ hiện ra các POST Request.
Mình định viết 1 đoạn script nhỏ bằng python để bắt tất cả các HTTP POST Request mà máy mình sniff được. Không biết chuyện này thì đã có tool nào làm được chưa nhỉ ?

Mình có 1 ngu ý là bạn thử vào registry search đường link truyennguoilon.biz thử xem có tìm được gì không smilie