Krisler12™ Posted April 28, 2010 Report Posted April 28, 2010 Salut ! Am deschis acest topic ptr. ca mi-a venit in cap o idee chiar fascinanta as putea spune. Am gasit pe net unele programe (nu le mai am si acuma) care se numesc HTTP Debugger. Care este ideea care mi-a venit ? Cred ca unii dintre voi deja v-ati si dat seama ce vreau sa va intreb. Mai exact: stim cu totii (cei care sunt interesati) de existenta asa numitor debuggere ptr. executabile. Exemple: Olly Debugger, Immunity Debugger etc.. Mai stim de aseamenea sau multi poate ati si incercat chiar, sa crackuiti diferite aplicatii gen "crack-me !" luate de pe internet. Care e treaba cu toata chestia asta ? Ati vazut ca in mare este vorba ori sa citesti la propriu serialul unui astfel de crack-me direct de pe stackul din debugger sau, mai simplu, nu trebuie decat sa schimbi sensul unui jump de la jnz la jz. Care este totusi mare intrebare la care m-am gandit ? Am descarcat mai demult niste programe numite generic debuggere dar care nu sunt ptr. executabile ci ptr. situri, ptr. aplicatiile online. Ce m-am gandit eu, am zis ca daca e posibil cu un executabil sa pui frumos acolo unde trebuie un breackpoint si sa schimbi flagsurile de la jnz la jz sau chiar sa vezi acel serial, de ce oare nu s-ar putea face asta si cu siturile ? Ei bine am descarcat astfel de programe insa nu le poti folosi tot asa ca similarele lor ptr. executabile: nu poti pune breackpoint, nu poti sa schimbi nici un fel de valoare/parametru ca sa modifici cursul logic al actiunii asa cum poti sa faci cu cele ptr. executabile,... tot ce poti sa faci este sa vezi headerle si cam atat. Acum haideti sa ne imaginam daca ar exista un astfel de program, ce s-ar intampla ? 1. Nu ar mai fi nevoie de hackeri adevarati, orice fraier poate sa invete sa puna un breackpoint si sa schimbe acolo jumpul sau chiar sa vada "serialul". 2. Repercursiuni: am oricine ar putea trece de pagine de login astfel, ar putea face cumparaturi de pe net fara sa plateasca un sfant, oricine ar putea deveni admin la orice site are el chef (pune breackpoint-schimba acolo din jnz in jz sau vede "serialul" -in cazul de fata serialul fiind parola corecta care este asteptata cand se logheaza adevaratul admin). Va dati seama ca cine ar avea un astfel de program ar fi "REGE" peste tot internetul fara sa aiba habar de SQLi sau de xss. Acuma, care e smecheria ? Exista un astfel de program in prezent sau nu ? Un prim raspuns ar putea fi: da, exista HTTP headers ptr. firefox si mai e unu, care se apropie mai mult de ceea ce zic eu, si anume : Tamper Data. Si totusi, si Live HTTP Headers si Tamper Data au deveni inutile, multe din situri fiind imune la astfel de programe. Am deschis acest topic sa va dati si voi cu parerea: exista un astfel de program cum mi-am imaginat eu ? Ar putea exista un astfel de program ? (Daca da , de ce, daca nu, de ce.) Multumesc ! Quote
Usr6 Posted April 28, 2010 Report Posted April 28, 2010 da, exista, pt opera "Ctrl+U"spor la "hackerit" siteuri:D Quote
ZeroCold Posted April 28, 2010 Report Posted April 28, 2010 Ce ai zis tu acolo ii acelasi lucru cu programelul magic care afla parole la yahuu.Nu exista, daca ar exista s-ar face tutoriale, s-ar vorbi mai mult despre el...logic. Quote
Ethereal Posted April 28, 2010 Report Posted April 28, 2010 Executabilele sunt seturi de instructiuni interpretate de microprocesor. Din moment ce intreaga informatie se afla in calculatorul tau, o poti manipula in orice fel doresti (disassembler/debugging) astfel incat sa eviti mecanismele de protectie si sa ai acces la ceea ce te intereseaza. Logarea pe un website este un schimb intre un client(tu) si serverul de autentificare - nu primesti 'teh goodies' decat dupa ce satisfaci cerintele serverului. 1 Quote