• Najnowsze pytania
  • Bez odpowiedzi
  • Zadaj pytanie
  • Kategorie
  • Tagi
  • Zdobyte punkty
  • Ekipa ninja
  • IRC
  • FAQ
  • Regulamin
  • Książki warte uwagi

question-closed Ominięcie filtru IP (ćwiczenie z bezpieczeństwa)

VPS Starter Arubacloud
+1 głos
525 wizyt
pytanie zadane 13 września 2021 w Bezpieczeństwo, hacking przez Jakub 0 Pasjonat (23,120 p.)
zamknięte 30 grudnia 2021 przez Jakub 0

Witam, uczę się z następującej książki. Na końcu rozdziału o nagłówkach HTTP w kontekście bezpieczeństwa, znajduje się następujące ćwiczenie:

Pod adresem http://training.securitum.com/book/http-headers/cwiczenie_iprestrictions.php znajduje się zabezpieczony panel. Dostęp do niego został zabezpieczony wyłącznie do konkretnego adresu IP. Zadaniem Czytelnika jest odkryć, jaki to adres, oraz znaleźć sposób ominięcia tego filtru, tak aby uzyskać dostęp do zasobu.

Wiem, że adres klienta czasami może być oszukany poprzez użycie np. nagłówka X-Forwarded-For. Nie mam jednak pojęcia w jaki sposób mam się dowiedzieć z jakiego adresu dostęp jest dozwolony.

Próbowałem podać zbyt dużą wartość dla nagłówka X-Forwarded-For by otrzymać 400 Bad Request i dowiedzieć się więcej informacji o serwerze. Nic jednak na tym nie zyskałem. Wciąż nie wiem jaki jest adres (zapewne jakiegoś serwera proxy).

Próbuje dojść do tego, ale coś mi nie idzie. Będę bardzo wdzięczny za jakąś wskazówkę jeśli ktoś, to już robił lub bardziej ogarnia temat.

Z góry dzięki i pozdrawiam :)

komentarz zamknięcia: Otrzymałem odpowiedź

2 odpowiedzi

0 głosów
odpowiedź 28 grudnia 2021 przez everyt Początkujący (440 p.)
wybrane 30 grudnia 2021 przez Jakub 0
 
Najlepsza
Cześć,

z header'em dobrze kombinujesz.

podpowiedź: użyj adresu z puli private IP :)
komentarz 30 grudnia 2021 przez cypis Nowicjusz (140 p.)
The first set of IP addresses allow for over 16 million addresses, the second for over 1 million, and over 65,000 for the last range.

troche to zajmie;)
komentarz 30 grudnia 2021 przez everyt Początkujący (440 p.)
Podpowiedź 2: Gateway

;)
komentarz 31 grudnia 2021 przez cypis Nowicjusz (140 p.)
Znalazlem rozwiazanie(IP)

Ogolnie jak sobie radzicie w takich przypadkach jezeli wymuszenie bledu w naglowku nie pokazuje IP?Intruder i lista IP ?
0 głosów
odpowiedź 28 grudnia 2021 przez cypis Nowicjusz (140 p.)
Witam,

Tez mam problem z rozwiazaniem tego cwiczenia. Moze jaka podpowiedz?

Pozdrawiam
komentarz 28 grudnia 2021 przez Wiciorny Ekspert (269,120 p.)
nie tworzyć nowego konta, podbijając temat na pewno.
komentarz 28 grudnia 2021 przez Jakub 0 Pasjonat (23,120 p.)

@Wiciorny To nie jestem ja.

Podobne pytania

+1 głos
2 odpowiedzi 632 wizyt
+1 głos
0 odpowiedzi 1,906 wizyt
pytanie zadane 19 lutego 2020 w Ogłoszenia, zlecenia przez MichalGiza Nowicjusz (130 p.)
0 głosów
2 odpowiedzi 298 wizyt

92,453 zapytań

141,262 odpowiedzi

319,086 komentarzy

61,854 pasjonatów

Motyw:

Akcja Pajacyk

Pajacyk od wielu lat dożywia dzieci. Pomóż klikając w zielony brzuszek na stronie. Dziękujemy! ♡

Oto polecana książka warta uwagi.
Pełną listę książek znajdziesz tutaj.

Akademia Sekuraka

Akademia Sekuraka 2024 zapewnia dostęp do minimum 15 szkoleń online z bezpieczeństwa IT oraz dostęp także do materiałów z edycji Sekurak Academy z roku 2023!

Przy zakupie możecie skorzystać z kodu: pasja-akademia - użyjcie go w koszyku, a uzyskacie rabat -30% na bilety w wersji "Standard"! Więcej informacji na temat akademii 2024 znajdziecie tutaj. Dziękujemy ekipie Sekuraka za taką fajną zniżkę dla wszystkich Pasjonatów!

Akademia Sekuraka

Niedawno wystartował dodruk tej świetnej, rozchwytywanej książki (około 940 stron). Mamy dla Was kod: pasja (wpiszcie go w koszyku), dzięki któremu otrzymujemy 10% zniżki - dziękujemy zaprzyjaźnionej ekipie Sekuraka za taki bonus dla Pasjonatów! Książka to pierwszy tom z serii o ITsec, który łagodnie wprowadzi w świat bezpieczeństwa IT każdą osobę - warto, polecamy!

...