Искусство вторжения   ::   Митник Кевин

Одним из них был Юхан, Он набрел наИнтернет-сайт, который мы будет называть банком Perogie. Этот сайт выглядел вполне достойной мишенью.

«Я зашел в интерактивный раздел часто задаваемых вопросов и ответов — F A Q — в котором можно было задавать вопросы. У меня е с т ь привычка листать страницы Интернет-сайтов — без особой цели, просто ради любопытства».

Он заметил, что файловая система организована так. как это принято в Unix-системах, Это сразу же очертило круг атак, которые он мог проводить. Просматривая коды источников некоторых Интернет-страниц, он обнаружил скрытые переменные, которые указывали на определенное имя файла. Когда он попытался изменить значение этой скрытой переменной, «стало ясно, что никто не спрашивает у него никакой авторизации. Это означало, что для банковского сервера нет никакой разницы — приходит ли к нему запрос с Интернет-сайта банка или с обычного компьютера».

Он изменил параметры спрятанного элемента, указывающего на файл паролей, что позволило ему вывести этот файл паролей к себе на экран. Он обнаружил, что пароли не «замаскированы», что означает, что стандартная зашифрованная форма каждого пароля была видна на экране. Таким образом он смог скопировать зашифрованные пароли и пропустить их через свой «взламы-ватель» паролей.

Этот «взламыватель» был хорошо известной программой с забавным названием «Джон Потрошитель» (John the Ripper), который Юхан запускал, используя стандартный английский словарь.