|
Diese Anleitung
ist ein relativ kurzer Zeit entstanden. Entschuldigt, wenn irgendwo kleinere
Fehler sind.
Es gibt zwei Methoden, die ein Webmaster benutzen kann, um seine Webseite von unbeliebten Gästen fernzuhalten. Beide zeichnen sich als äußerst dumm aus, da jemand, der die URL des geschützen Dokuments kennt auch ohne Passwortabfrage darau zugreifen kann.
Methode 1 : Dabei läuft die Passwordabfrage über ein, mittels Javascript, erzeugtes JavaScript Fenster, das in den Source Code der Seite, auf der die geschützten Daten sind, eingebunden ist. Bei dieser Methode sollte es leichtes sein, daß ihr das Passwort herausfindet. Dazu erstellt ihr eine leere Seite und schreibt in die erste Zeile irgendein Wort, was euch grade einfällt. Dieses besetzt Ihr mit einem Link zu der Seite, bei der das AbfrageFenster aufgerufen wird. Nun speichern und angucken (Ihr solltet online sein). Ihr klickt den link mit gehaltener SHIFT Taste an. Nun sollte sih ein Fenster öffnen, in dem Ihr gefragt werdet, ob und wo ihr die Seite im HTML Format speichern wollt. Speichert sie irgendwo und dann guckt euch den Source Code an. dort sollte es Zeilen geben in der steht : <SCRIPT language="JavaScript"> passwd=window.prompt("Please enter the password.",""); if (passwd=="i hate teachers") { alert("Password Correct...Leaving"); location.href="geschützt.htm" } else if (passwd=="cancel") { location.href="anfang.htm" } else { alert("! Falsches Passwort ! Bitte erneut eingeben :"); passwd=window.prompt("Please enter the password.",""); if (passwd=="i hate teachers") { alert("Password Correct...Leaving"); location.href="geschützt.htm" } else if (passwd=="cancel") { location.href="anfang.htm" } else { alert("Zweite Passworteingabe auch falsch. Wir werden sie nun als failed login registrieren"); location.href="logged.htm"; } } </SCRIPT> Dabei zeichen
die rot
gefärbten Stellen das gültige Passwort,
das erwartet wird. Die gelben
Stellen zeigen die URL des
Anmerkung : Diese erste JavaScript - Methode ist nicht sehr effektiv, da man alleine durch Betrachtung des SourceCodes das Passwort herausfinden kann.
Methode 2 :
Zu dieser Methode greifen Webmaster öfter,
da sie nicht so leicht zu knacken ist wie Methode. Sie besteht aus zwei
verschiedenen Dokumenten. Das erste, welches bei anklicken des Links aufgerufen
wird, enthält eine INPUT Zeile. Dort darf man nun das Passwort eintragen.
Beim Drücken der Entertaste ( Return ) wird dann an das Password .htm
oder .html angehängt. Das heißt, daß das Password nun
nicht mehr enthalten sein muß, sondern es nur ein HTML - Dokument
gibt, welches als Namen das Passwort enthält. Wenn das Passwort also
"r1o2o3t4" heißt, dann liegt auf dem Server ein HTML - Dokument
mit dem Namen : "r1o2o3t4.htm" <---- Diese Url wird
also beim eingeben des Passwortes "r1o2o3t4" aufgerufen. Hacken kann man
diese Methode nur mit eine BruteForce Attacke. Eine leichtere Methode ist
es aber , in der History nachzuschauen. Wenn man also jemanden kennt, der
das Passwort kennt, holt man sich einfach die Addresse des Dokuments aus
der History. Dazu braucht man logischer Weise ein BatchDatei und
eine Diskette und natürlich einen phyischen Zugang zum System. Dazu
aber irgendwann mal...
this File is created by :
|