Probleem met plaatsen van foto's

[The Oddity]

Lol, PiR²,

ik was iets in die aard idd van plan.. maar vond niet direct iets...dan heb ik maar iets willekeurig van mijn D-schijf gepakt:

maw: Erik: het is niet 1 bestand, en het is zeker niet 0Kb

Oplossing posten? of is er nog iemand stiekem aant proberen?
btw: u hebt gewonnen zinneke--> bij 0bytes

[CueBoy]

maw: Erik: het is niet 1 bestand, en het is zeker niet 0Kb

Oei, de hunt is nog altijd open dus... Ik zou nog wat wachten met het posten van de oplossing... 'men' is nog maar een dag bezig

[meon]

Tenzij ge brute force gaat proberen gaat dat toch niet lukken...

Waar is m'n hacktooltje weer?
Maar ik neem aan dat het iets minder voor de hand liggend dan "test.gif" gaat zijn...
Ik heb niet eens de moeite gedaan om te proberen, ik weet wat die tooltjes waard zijn...

[The Oddity]

mja, meon, brute force ok, daar hebt ge wel iets, maare wat gaat ge doen met meerdere files (dummys) en bestanden met dezelfde naam maar case sensitive.. etc etc....

Kan zijn dat ge er zo komt...maare kweet niet zenne. Anyway iedereen mag proberen.

We gaan dat niet als hack beschouwen, aangezien ik duidelijk vraag dit te doen. Enige opmerking die ik wil maken voor er ergere zaken zouden van komen: indien ge praktijken toepast als brute-force enzo.. gaat ge alle sec. zoveel connections met de server maken... kans bestaat dus wel dat Skynet hierover valt enja.. dat is net buiten mijn power eh

Trouwens indien je het op illegale manier te weten komt is dit illegaal voor Skynet ook, dus in principe 'beetje' uitgesloten.

Enne: ivm die locatie: kunt het nog moeilijker maken eh, door als login bvb: de map mee te geven en als pwd de filename:

login: \secured zone\protected zone\
pwd: protectedfilename.html

--> conclusie: ge kunt het héél erg moeilijk maken. Maw: als ge de directory zelf niet weet hebt ge een groot probleem! Want die gaat ge ook via geen enkel prog vinden (en dan nog sub dirs )

[meon]

wat als ge een file zo zou maken: root/p/a/s/s/w/o/r/d/encryptedfile.txt
En nu is de challenge: vindt dat maar eens

Ik ga m'n bruteforce dingetje niet proberen, heb ik geen zin in, want dat gaat toch niks vinden.
Trouwens, m'n router staat maar xxx connecties per seconde toe, dus ik zou binnen de 2 seconden of zo m'n nat-pool vol hebben steken

[CueBoy]

Niet dat ik hier wil pleiten voor "illegale" dingen hé... ik -persoonlijk- vind dit gewoon een interessante discussie...

No smileys, no nikske, just my two cents.

[The Oddity]

Like i said, kunt het heel ingewikkeld beginnen maken. Als ge wilt kunt ge zelf nen directory terug keren ofzo..allez ja.. véél mogelijkheden.

kortom: zaak is safe. Zeker op skynet!

Cueboy, dit is een interessante discussie omtrent het zo goed mogelijk proberen beveiligen van een page op een ordinaire server van Skynet.
Ook een beetje om te bewijzen dat het idd safe is, in tegenstelling tot wat erik zegt. Ik wil wel hier niet de toer opgaan door bypass technieken en exploits toepassen om servers te bypassen enzo...Je moet het bezien van toch goed beveiligen op een server waar je niks kan behalve uploaden!

Enne toch ff 4 the record: Skynet draagt hierin mee, door van zo'n userpool systeem gebruik te maken. Bij pandora kunt ge dat dus bypassen eh!

[Pi R²]

zoveel werk is dat niet he meon, het web telt maar een paar quadrilliart bestanden.
(ge bedoelt toch met root dat ge gelijk welke host op het web kunt gebruiken?)

[meon]

mja, ik bedoelde met root eigenlijk de basismap, maar ja eigenlijk kan je zo ver gaan van dat het eender waar op het internet kan staan. Lol, stel u voor: ik zeg: ik heb ergens een bestand verstopt. -waar? -op het internet, 'ergens'.

Maar ik denk niet dat ge iets gaat vinden, tenzij met brute force of heeeeeel veel geluk

Nog sneller gaat ge oddity's pc hacken (bij hem inbreken dus) en daar de ftp transfer-logs nagaan

[The Oddity]

Hehe, mja hier fysiek komen binnenbreken door de voordeur in te beuken en access tot mijnen pc te hebben, dat zou lukken.. via inet hacken? hmm weet niet, ben curieus wat die router zou doen en dan hebben we nis nog

lol das nog beter, op een andere server, hehe: verstopt, waar? op internet
LOL

[Pi R²]

der zouden ze nog nen internationalen hackwedstrijd rond kunnen maken: waar zit het bestand verborgen?

Plotst ziet ge het aantal hackpogingen overal ter wereld fors toenemen

[Sensei Zeon]

oddity, als ge op pandora nu in die map gewoon een index.htm file zou zetten, dan is die dir listing ook weg, in dat html-file moet niet eens iets in saan

[The Oddity]

Ja Sensei dan ben je op die manier van die directory listing af. Maar hetgeen Erik zegt: "het scannen van ftp" lukt wel. Het moet mogelijk zijn de volledige inhoud van een account bij pandora te leechen.. en zo zou ge alle files meekrijgen. Ik heb het nu nog niet zelf kunnen proberen.

Maar het komt erop neer dat hetgeen Erik beweerde daar wel werkt en hier niet. Reden heeft te maken met userpools:
users.skynet.be redirect naar verschillende pools:
userspool1.skynet.be:(none)
...
userspool7.skynet.be:(none) (denk 7 de laatste)

En dat zorgt op één of andere manier voor probs met dat scannen/leechen.

[Pi R²]

en de enigste reden voorwa skynet nie kiest voor dir listing, maar het zo moeilijk maakt om iets te vinden dat ge niet weet staan, da is reklame maken voor hunne skynetsite. Elk fout adres is immers goed voor ne klik op hunnen eigen site.

[NuKeM]

Tenzij ge brute force gaat proberen gaat dat toch niet lukken...

Waar is m'n hacktooltje weer?
Maar ik neem aan dat het iets minder voor de hand liggend dan "test.gif" gaat zijn...
Ik heb niet eens de moeite gedaan om te proberen, ik weet wat die tooltjes waard zijn...

Als je met brute force zou beginnen dan kan je beter maar meteen proberen zijn skynet login en password te vinden, want waarschijnlijk korter woord en direct access tot alle files (dus 'minder lang' zoeken naar alles)...
Nog makkelijker zou zijn zijn pc te infecteren en op deze manier aan zijn skynet login en password te geraken... want volgens mij heb je immers veel meer kans dat het op deze manier lukt dan proberen het skynet systeem te omzeilen
Maar kom, het gaat hier om het skynet systeem dus zullen we The Oddity dit maar niet aan doen voor een pint zekers
Die pint zou nogtans rap verdient zijn ... stel u voor (want in realiteit zou ik dit dus NOOIT doen, maak u dus geen zorgen! ), nieuwe versie skynettooltje dat ik enkel hem laat testen, maar... dit skynettooltje stuurt login en password voor een keer ook door naar mij... en voila hij zal het noch verdacht vinden noch opmerken ...

[Pi R²]

haja, vorige keer moest dat met php vanalles verwerken. Was rap in een databaseke gestoken dan.

[NuKeM]

haja, vorige keer moest dat met php vanalles verwerken. Was rap in een databaseke gestoken dan.

Het gaat nu nog altijd even rap ze, gewoon terug zoiets 'verborgen' inbouwen :dd (met netwerk sniffer zoudt ge het wel rap zien ze).
Maar kom, zo'n dingen doen wij niet.

[jan28]

Jan, ik denk dat we bij deze wel kunnen besluiten dat mijn methode eigenlijk nog niet zó slecht is. Qua veiligheid kan het zeker tellen, enkel beetje ongebruiksvriendelijk dat de filename de login en pwd moet zijn...

Ik denk met al de tips die ge hier gekregen hebt, dat ge een ferm beveiligde fotogallerij gaat kunnen maken.

Hallo,

ik heb het hier thuis al eens geprobeerd maar ik krijg telkens een foutmelding ivm met een fout : regel 63 teken 6 , het zou een ;betreffen maar ik heb daar helemaal geen regel 63?

Als ik terug wat tijd heb zal ik een een screen shot maken om mijn uitleg te verduidelijken.

Jan

[meon]

@Jan: wat die fout op regel 63 is, dat zien wij nu eenmaal niet eh
Misschien handig naar de pagina te verwijzen, zodat we kunnen piepeloeren.

Modjes, is het niet tijd geworden dit af te splitsen? Het gaat hier al lang bijlange niet meer over foto's plaatsen op de skynet users-webserver

[jan28]

klik hier voor een eerste scherm http://users.skynet.be/jan.vandermeeren ... ot%201.jpg en hier voor scherm met foutmelding http://users.skynet.be/jan.vandermeeren ... ot%202.jpg
en hier voor de testpagina die ik maakte om als toegang te dienen http://users.skynet.be/jan.vandermeeren/tezst.htm

jan

[Pi R²]

geen fouten gezien, maareuh... waar moet ge dat paswoord intypen? (als ge u geinspireerd hebt op the oddity zijn scriptje, ge moet nog 2 invulvakken maken met de naam "username" en "paswoord"

PS: de preview van frontpage is goed om eens vlug naar ne lay-out te zien, niet om scripts in te testen, die dat in je browser.

[Pi R²]

enneuh, wanneer krijgen we de oplossing? Er is geen post meer gekomen dus ik vermoed dat het afgelopen is...

[Sensei Zeon]

oplossing:

[The Oddity]

Yep, dat was idd de oplossing die in de map contest stond.

Jan:

een paar opmerkingen: eerst en vooral heb ik geen form teruggevonden op je page waardoor uw script dus ook niks kan aanspreken. Trouwens de UserInfo enzo.. zijn benamingen van forms... dus dat gaat probs geven. Anyway om het mezel makkelijker te maken zal ik een werkend voorbeeld online zetten zodat je dat eens ten goede kunt bekijken en dan eventueel kunt verder uitbouwen... etc etc...

[jan28]

tja, het is wat met die amateurs he,

[The Oddity]

jan, ik was u al klein beetje vergeten door de drukte

Heb snel een page gemaakt en ben die nu aant uploaden.

Login page
Protected page: secured_area.html
login: secured
pwd area

Voila, hiermee zou het toch moeten lukken volgens mij. Als je nog vragen zou hebben moet je maar eens roepen.

nadeel is wel, indien je een een verkeerde login en pwd ingeeft encounter je een 404, die kan je niet opvangen op gewone hosting . ma kom tis iets eh, is beter dan niets

[Pi R²]

Dan laat ge dat toch verschijnen in een pop-up venster? Dan moet ge gewoon opt kruiseke drukken, en dan kunt ge opnieuw proberen. Zo vermijdt ge dan ook dat ge kunt doorklikken naar google ofzo.

[The Oddity]

mja, dat is idd wel een oplossing, maar kben niet vré pop-up gezind

Nuja, indien ge custom 404 pages kunt maken, kunt ge dat catchen en kunt ge daar een systeem inbouwen dat hij zegt: invalid login/pwd....

Maarja, indien je een 404 kunt catchen heb je meestal ook wel htaccess zodat je een full-proof advanced security rond uw files kunt opzetten dusja dan wordt dit systeem achterhaald.

I'd say, denk dat dit wel voldoende is voor jan

[The Oddity]

Ik had nog een vraagje over die beveiliging van de fotopagina.
Ik begrijp nog niet goed hoe die "toegang" weet welke pagina er geopend moet worden. Ik vind nergens een verwijzing naar elkaar, dus niet op de toegangscontrole en niet op de pagina waar je terecht komt als je dat goed ingevuld hebt. Bij mij (enkel op mijn PC getest) werkt het niet.

Kan je misschien even kort het principe verduidelijken?

Jan, die pagina weet niet welke pagina er moet geopend worden. De gebruiker die een beveiligde pagina wenst te bekijken zegt gewoon welke pagina hij wil bekijken. Je kan dus bvb meerdere beveiligde pagina's bekijken eh

Je gaat gewoon een combinatie in het loginen pwd field ingeven zodat als je deze aan elkaar plakt de naam van de file krijgt. Dit wordt gedaan door het js-script dat geactiveerd wordt door op submit te klikken. Dit script plakt ze aan elkaar en op het einde van het script opent het de nieuwe gevormde url: maw de combinatie van login+pwd+.html

stel alles zit in een map /login
index.htm is de pagina die de toegang controleert.
verder heb je nog 2 beveiligde files:
protected_file1.html
protected_file2.html

maw op de index.html zal je een form moeten invullen om aan de secured files te komen: voor file 1: login: protected en pwd: file1
het jscript haalt de waarde uit de velden en plakt die aan elkaar en zet er een underscore tussen. vervolgens plakt het ook ".html" aan die string.
Eens dit allemaal gedaan is opent de jscript de file met filename:"login_pwd.html"

Je moet wel zien dat je extensie html is en niet htm.. kan problemen geven. Je moet dus ook de exacte file-name ingeven. Case sensitive.

Voila dit zou het moeten doen. Gooi anders eens een versie van je werk online en testen we het even en kunnen we maybe zeggen waar de fout zit

Maw je moet de gebruikers die de beveiligde files op de hoogte brengen van de login en pwd...

[jan28]

Ah nu snap ik het!
Zal dat allemaal eens in orde maken en jullie laten weten als het op het web staat.
Jan

PS Odditty, ik heb zonet een PB gestuurd naar jou.


Odditty en de anderen, het werkt!
Voor wie wil testenhttp://users.skynet.be/jan.vandermeeren/index.htm
links bovenaan "oegang naar de foto's"en dan login: test en paswrd : pagina.Bedankt voor de tips

jan

[The Oddity]

Yep het werkt. Ik kom op een testpagina. Dus wel niet op een foto pagina...?

Nu kan je het scriptje aanpassen aan jouw login-form ofzo. Het enige wat je daarbij moet weten is dat de namen van de form's en de namen in het script dezelfde zijn.

Code: Selecteer alles

password = document.userInfos.username.value;

document --> is je document is altijd zo.
userInfos is de naam van je form
en username is de naam van je invoerveld username.

Heb je pm ontvangen. Ik veronderstel dat alles in orde is.