Sök  
 
Skribent Inlägget Löst
Google
 
     

  Forum » Off topic » "Skrapa" data från webforms-sida  
 
Skriven av: antonbatong | den 19 november 2011 Kl 21:50
"Skrapa" data från webforms-sida
Hej!

Jag har ett projekt på gång åt en kund där vi behöver komma åt information (och skicka information) på några sidor som är baserade på ASP.Net Webforms. För att komma åt informationen på sidan krävs det att man loggar in, och där är första utmaningen. Inloggningsformuläret är ju inte som ett vanligt webbformulär där man postar data till en sida, utan allting är väl antagligen med JavaScript.

Jag vill alltså bygga en mellanhand som agerar API, går det att "simulera" en inloggning med bifogade användarnamn och lösenord till en Asp.Net sida och därmed komma åt informationen innanför?

Antal svar 8




Skriven av: Emill | den 19 november 2011 Kl 23:47
Även om inloggningen sker med javascript så resulterar det till slut hur man än gör i en vanlig http-request. Så det räcker med att antingen försöka leta i koden efter hur det fungerar, eller använda något verktyg (firebug eller chromes inbyggda) för att se hur den http-requesten ser ut. Om du härmar den så bör det gå bra. Håll rätt på den cookien som den http-requesten returnerar, så du skickar med den sedan varje gång du ska göra något där inloggning krävs.
Skriven av: LordDaimos | den 20 november 2011 Kl 00:23
Kan även rekommendera Fiddler för att hålla koll på requests som görs, väldigt trevligt program faktiskt.
Skriven av: antonbatong | den 20 november 2011 Kl 10:31
Tack för tipset om Fiddler, grymt program. Men hur kan en seriös it-systemsleverantör skicka lösenord i klartext?
Skriven av: LordDaimos | den 20 november 2011 Kl 19:54
Görs det via http (och inte https) och via ett vanligt formulär så är det klartext som gäller. Var en lång tråd om detta för några veckor sen där det disskuterades att man kunde kryptera/hasha på klienten m.h.a javascript men det är ytterst ovanligt att detta görs i verkligheten.
Skriven av: antonbatong | den 21 november 2011 Kl 00:07
Nu förstår jag inte, jag har inpräntat i skallbenet att det aldrig nånsin är okej att skicka lösenord i klartext, eller att spara lösenord i klartext. Allt som behöver göras är ju egentligen att köra https och så blir det säkert ju.

Kan tillägga att jag fick det att funka som jag ville =)
Skriven av: MacTommy | den 21 november 2011 Kl 06:27
Även om du kör det över en HTTPS så kommer koden alltid att vara i klartext på två ställen... när du skriver och när man tar emot.

Några rader jQuery så har du hashat lösenordet på clienten och man har dragit ner det till ett ställe där lösenordet är i klartext. Lösenordet kan visserligen läsas av på clienten i klartext när man skriver in den, men det är bara där.

Sprang på en artikel på IDG hämodagen som tog upp detta med MD5, SHA1 och SHA256, där man ett lösenord som tidigare tog 692år att gå igenom alla kombinationer tar med dagens superdatorer 60½timme. Så i framtiden så kanske vi får lära oss "Bcrypt" istället för att köra med MD5, SHA1 och SHA256.

"Som exempel kan vi tala om att checksumman bakom vårt osaltade lösenord "password" tar max tre minuter att knäcka för någon med de rätta resurserna. Ett mer komplicerat lösenord som Mind2pE kan knäckas på under en timme."... http://www.idg.se/2.1085/1.415761/hundratusen-ganger-sakrare-losenord-med-bcrypt

Det som hade varit intressant att veta är vad som hade hänt om man hashar ett lösenord på clienten med SHA256, skickat över det till servern och då hashat det på nytt med ett unikt salt. Saltet på clienten är ju i klartext, men serverns blir lite mer komplicerat att få tag på...

Så att jag plitade ihop en hemsida med lite tankar om hur man kan tänka sig lösenord som jag nu måste revidera innan jag släpper den officielt. :(
Skriven av: vimpyboy | den 21 november 2011 Kl 09:58
Vad är det för typ av inloggning? Om det är forms authentication så kan du spara undan kakan i minnet i en CookieContainer (http://msdn.microsoft.com/en-us/library/system.net.httpwebrequest.cookiecontainer.aspx) och är det windows authentication så kan du använda NetworkCredential (http://msdn.microsoft.com/en-us/library/system.net.networkcredential.aspx).
Skriven av: antonbatong | den 22 november 2011 Kl 15:02
Vimpyboy, problemet är alltså löst nu. Vart mest fundersam på det här med okrypterade lösenord...
 
     

  Svara på inlägg  
 
Du måste vara medlem på ASPsidan för att kunna skriva i forumet.
För att bli medlem klicka här.
 
     

  » Logga in  
 
Användarnamn

Lösenord

 
     

  » Bli medlem  
  Bli medlem på ASPsidan!  
     

     
  Microsoft  
     

  » Partners  
  Comsolvia  
     
  » ANNONS  
  ingen annons än  
     

  » Senast online  
  Endast för inloggade  
  Antal inloggade: 1  
     

Copyright © 2007 www.ASPsidan.se
ingen sponsrar längre ASPsidan med Dedikerad Server
ASPsidan RSS
   
 XHTML / CSS
Det tog 0,7813 sekunder att ladda sidan