סיסמה ארוכה באתר "בנק" הדואר
-
נתקלתי בבעיה משעשעת...
יש לי חשבון ב"בנק" הדואר,
באתר שלהם הם מאפשרים להגדיר סיסמה בעלת 20 תווים בלי שום אזהרה, (לא בדקתי מה המקסימום, אבל זה ברירת המחדל במנהל הסיסמאות שלי) אבל כאשר אני ניגש לדף הכניסה הדף שולח רק את 15 התווים הראשונים כך שאי אפשר ליכנס.
זה קרה לי לפני כמה שבועות וחשבתי שבאמת הסיסמה לא נכונה, אז אחרי פרוצודורה ב"בנק" איפסו לי את הסיסמה, הלכתי הביתה והגדרתי סיסמה חדשה, נכנסתי בהצלחה וכו' וחשבתי שהכל טוב. אבל היום ניסיתי ליכנס שוב והופ! שוב לא מקבל את הסיסמה שלי, הפעם כבר חשדתי במשהו ובדקתי את התעבורה, והנה אני רואה שהם שולחים רק את 15 התווים הראשונים של הסיסמה.
בינתיים הצלחתי ליכנס על ידי תוכנת MITM Proxy... -
-
@yossiz אמר בסיסמה ארוכה באתר "בנק" הדואר:
בינתיים הצלחתי ליכנס על ידי תוכנת MITM Proxy...
מה זה?
עריכה: איך הצלחת עם התוכנה הזו?
לכאורה אתה צריך לערוך את הJS של הדף, לא? -
@MusiCode אמר בסיסמה ארוכה באתר "בנק" הדואר:
מה זה?
כבר מצאת? https://mitmproxy.org
לכאורה אתה צריך לערוך את הJS של הדף, לא?
א. לא צריך, מספיק לערוך את הבקשה שהדף שולח.
ב. אם יש צורך, אפשר לעשות גם את זה עם mitmproxy... -
מה, אפשר לערוך בקשה לאחר שנשלחה??
איך אפשר לתפוס את הבקשה?
-
@MusiCode מה נקרא "נשלחה"?
הבקשה יוצאת מהדפדפן ועוברת דרך הפרוקסי לפני שהיא מגיעה ליעד, בתוך הפרוקסי אפשר לערוך את הבקשה. פשוט הוספתי את התווים החסרים. -
@yossiz אמר בסיסמה ארוכה באתר "בנק" הדואר:
ב. אם יש צורך, אפשר לעשות גם את זה עם mitmproxy...
קצת מסובך הקינפוג שלו, לא?
פעם התעסקתי עם זה, היו דברים שלא הצלחתי לעשות. -
@WWW בנטפרי צריך להגדיר שלא יבדוק את התעודות, או להגדיר שיסמוך על התעודות של נטפרי. יש הגדרות לזה בדף ההגדרות.
-
@yossiz אמר בסיסמה ארוכה באתר "בנק" הדואר:
@WWW בנטפרי צריך להגדיר שלא יבדוק את התעודות, או להגדיר שיסמוך על התעודות של נטפרי. יש הגדרות לזה בדף ההגדרות.
לא נראה לי קשור לזה.
אולי, יכול להיות, כבר לא זוכר בדיוק מה עשיתי לגבי התעודות. -
@yossiz אמר בסיסמה ארוכה באתר "בנק" הדואר:
@MusiCode אמר בסיסמה ארוכה באתר "בנק" הדואר:
מה זה?
כבר מצאת? https://mitmproxy.org
לכאורה אתה צריך לערוך את הJS של הדף, לא?
א. לא צריך, מספיק לערוך את הבקשה שהדף שולח.
ב. אם יש צורך, אפשר לעשות גם את זה עם mitmproxy...זה לא איזה בעיית אבטחה?
-
@searchnicks זה לא אמור להיות בעיה, אימות של קלט מהמשתמש אמור לקרות בשרת.
-
@yossiz אני נתקלתי בכזה דבר בכאל
פתחתי חשבון ועשיתי סיסמה ארוכה ורק חלקה מתקבל -
@yossiz מה ניתן בתכלס לעשות?
-
@aknvtchtk מדובר באותה בעיה בדיוק? כלומר שהסיסמה הארוכה הוגדרה במערכת ואי אפשר להזין אותה בדף הכניסה?
כי לפעמים בעיה קלה יותר, שרק חלק מהסיסמה התקבלה במערכת בשעת הגדרה, ואם כן בשעת כניסה פשוט מזינים את החלק שהתקבלה. -
@yossiz בהרשמה התקבלה הסיסמה הארוכה ובשעת הכניסה הוא מקבל רק חלק מהסיסמא
-
@aknvtchtk אם כן תצטרך לעשות תמרונים... אני יכול להסביר בקווים כלליים מה אני עשיתי, אולי אפשר לעשות משהו יותר פשוט, אני לא יודע.
השתמשתי בתוכנת mitmproxy (תוכנה חינמית אפשר להוריד עבור ווינדוס כאן: https://snapshots.mitmproxy.org/5.2/mitmproxy-5.2-windows-installer.exe)
אחרי התקנה מריצים mitmproxy ui מתפריט ההתחלה. זה פותח חלון CMD וממשק גרפי בדפדפן. עכשיו הפרוקסי מאזין על פורט 8080. צריך להגדיר בהגדרות פרוקסי של ווינדוס שיעביר את הכל דרך localhost:8080.
אם אתה בנטפרי צריך ללחוץ בממשק הגרפי בדפדפן על options > edit options, ושם להפעיל את אופציית ssl_insecure.
תוודא שאתה רואה את תעבורת הרשת עוברת דרך mitmproxy. אתה אמור לראות רשימה של כל הבקשות שהולכת ומתמלאת.
תבדוק בכלי הפיתוח של כרום בכרטיסיית network ותמצא את הבקשה ששולחת את הסיסמה. נסה למצוא ב-url של הבקשה איזה מחרוזת ייחודית שניתן לחפש לפיה.
עכשיו בכרטיסיית start בממשק של mitmproxy תכניס את המחרוזת לשדה intercept. זה יגרום ש-mitmproxy תעצור בקשה ל-URL שמכיל את המחרוזת ותתן לך לערוך את הבקשה לפני שהבקשה ממשיכה הלאה,
בקשות שנעצרו מופיעים בכתום ברשימה, ולחיצה על השורה מאפשר לך לבדוק את תוכן הבקשה. לחיצה על סימן ה-
בצד ימין למעלה מאפשר עריכה של הבקשה, עכשיו הלחצן מופיע עם סמליל
ולחיצה עליו שומר את השינויים.
עבור לכרטיסייה חדשה בדפדפן ותפתח את האתר הבעייתי, נסה ליכנס, הבקשה שבודקת את הסיסמה אמור להיעצר,
עבור לכרטיסיית mitmproxy וזהה את הבקשה וערוך אותה שתכיל את כל התווים של הסיסמה ואז לחץ על resume בסרגל הכלים.
כאשר התשובה חוזרת מהשרת הבקשה נעצרת שוב, תלחץ על resume שוב כדי לאפשר אותה ליכנס לדפדפן,אם עשית את הכל כשורה אתה אמור להצליח ליכנס לאתר...
כל זה בהנחה שאין בדיקות בצד השרת על אורך הסיסמה, או שהבדיקה בצד השרת משתמשת בערכים נכונים.
בהצלחה!
-
@yossiz שיעורי בית
תודה על ההסבר המפורט מקווה שיהיה לי זמן לשבת על זה
אה וגם אני צריך להיזכר בוודאות בסיסמה כי הייתי נכנס עם תעודת זהות וארבע ספרות בעקבות זה שזה לא היה פעיל -
-
@yossiz אני בדר"כ זוכר את הסיסמאות והם שמורים לי גם אלא ששם מרוב נסיונות ניסיתי כל מיני ויראציות של סיסמאות וכשזה לא עבד סוג של התייאשתי מזה
וכידוע דבר שלא מעניין אותך אתה לא זוכר -
@aknvtchtk אמר בסיסמה ארוכה באתר "בנק" הדואר:
וכידוע דבר שלא מעניין אותך אתה לא זוכר
אתה זוכר, רק שקשה יותר לשלוף את זה מהזיכרון
-
yossiz