2
Янв
Автор: | Рубрика: Защита | Комментарии отключены
Как можно заметить, при обсуждении различных методов аутентификации ни разу не го¬ворилось о том, что они являются взаимоисключающими. Действительно, защита ресурса может быть организована таким образом, чтобы обеспечить несколько различных схем аутен¬тификации, а затем выбрать из тех схем, которые поддерживаются кчиентом, наиболее на¬дежную. Например, сервер, работающий под управлением операционной системы Windows 2000 или более поздней, можно настроить таким образом, чтобы он обеспечивал аутентифи¬кацию как по базовой схеме, так и по встроенной схеме Windows. При этом клиенту в запросе высылается не один заголовок, а сразу три, как показано ниже.
Читать полностью
1
Янв
Автор: | Рубрика: Сбор Даных | Комментарии отключены
Когда при проведении консультаций нам приходится сталкиваться со страницами, защи¬щенными с помощью механизма базовой аутентификации, мы чаще всего для проверки на¬дежности защиты используем утилиту WebCracker. Эта утилита представляет собой простое и удобное в использовании средство, которое считывает из файлов пользовательские имена и пароли, а затем использует их в качестве словарей для подбора пары, позволяющей пройти базовую аутентификацию. В качестве индикатора успешного прохождения аутентификации утилита использует сообщение HTTP 302 Object Moved, причем при обнаружении подхо¬дящей пары "идентификатор — пароль" работа утилиты не прерывается (иными словами, ути¬лита будет перебирать все указанные в списках значения до тех пор, пока не дойдет до конца списков). Обший вид окна утилиты WebCracker, которой удалось подобрать значения паролей к некоторым учетным записям, показан на рис. 5.5.
1
Янв
Автор: | Рубрика: Защита | Комментарии отключены
В отличие от всех рассмотренных в данной главе методов аутентификации формоориенти¬рованная аутентификация (form-based authentication) не использует никаких средств таких ба¬зовых протоколов Web, как HTTP или SSL, как это происходит при работе механизмов базо¬вой или сертификатной аутентификации. Формоориентированная аутентификация пред¬ставляет собой чрезвычайно гибкий механизм, основанный на использовании формы, которая, как правило, образуется средствами HTML с помощью дескрипторов
Читать полностью
1
Янв
Автор: | Рубрика: Сокртыие следов | Комментарии отключены
В скобках после каждого параметра указываются его возможные значения: 0,1 или строка.
Ў UseAllowVerbs (0, 1). Если этот параметр имеет значение 1, UrlScan блокирует любой запрос, содержащий глагольную команду HTTP, которая отсутствует в списке, опреде¬ленном в разделе AllowVerbs (строчные и прописные буквы различаются). Если этот параметр имеет значение 0, UrlScan блокирует любой запрос, содержащий глагольную команду HTTP, которая указана в списке, определенном в разделе DenyVerbs (строчные и прописные буквы не различаются). Более высокий уровень безопасности достигается в том случае, когда этот параметр имеет значение 1 (при условии, конеч¬но, что список разрешенных команд в разделе А1 lowverbs сокращен до минимума — например, состоит из одной команды GET).
Читать полностью
