2016-11-05 68 views
-1

我參加了我們學校的黑客大賽。我想出了一個解決方案,但我不知道如何編寫代碼,所以我在這裏請求你的幫助。如何編寫一個bash腳本來測試登錄表?

問題涉及服務器上的安全漏洞。使用gmail用戶名的文件:passw已經泄露,我們,信息安全小組必須測試哪些登錄被入侵(如果用戶還沒有更改他們的密碼)以便通過電子郵件發送。所以我的想法是:首先,貓使用cat * > merged-file所有文件。然後,以某種方式創建一種機制來測試每個組合usr + pw在gmail上放置一個標誌或創建另一個成功的文件。

對不起我的英語不好,我不是母語的人。

回答

0

可以使用curl

curl -u $USERNAME:$PASSWORD --silent "https://mail.google.com/mail/feed/atom" | grep "<TITLE>" 

它將返回<TITLE>Unauthorized</TITLE>,如果組合是不正確檢查用戶名和密碼。

0

這是一個信息安全的問題,答案被切斷,清晰,

賬目

ALL已經失密

系統的每個用戶應該會收到一封電子郵件,通知他們。即使認爲該帳戶是好的 - 它可能不是。儘可能讓用戶知道。

此外,應從未是任何純文本文件的用戶名和密碼 - 密碼應該知道只有用戶 - 服務器應永遠只能看到加密/散列版本。

此外,這將是一個很好的從Google獲得IP列入黑名單的方式,就是如果您嘗試在幾秒鐘內從單一來源登錄幾百次登錄,並且可能對他們的TOS也是極其嚴重。

+0

我明白你的意思,但我認爲你沒有得到什麼是練習的重點。很顯然,在真實世界的場景中,公司應該提醒所有的用戶,但只提醒沒有更改密碼的用戶的特權會給練習帶來額外的困難。此外,該文本文件實際上是XSS入侵的產物,我們在其中扮演了違反我們自己的服務器的「黑客」角色。這是練習編號1.關於IP黑名單,必要時使用rand代理和MAC地址的簡單代理鏈可以解決問題,但在我們的案例中,我們的文件只有30 usr:pw。 – PlotTwist

相關問題