Войти в систему

Home
    - Создать дневник
    - Написать в дневник
       - Подробный режим

LJ.Rossia.org
    - Новости сайта
    - Общие настройки
    - Sitemap
    - Оплата
    - ljr-fif

Редактировать...
    - Настройки
    - Список друзей
    - Дневник
    - Картинки
    - Пароль
    - Вид дневника

Сообщества

Настроить S2

Помощь
    - Забыли пароль?
    - FAQ
    - Тех. поддержка



Пишет Леонид Каганов ([info]lleokaganov)
@ 2019-08-01 04:11:00

Previous Entry  Add to memories!  Tell a Friend!  Next Entry
Программисты оценят: ESPSESSIONID=1
это перепост заметки, оригинал находится на моем сайте: https://lleo.me/dnevnik/2019/07/31_esp

Предыстория. Решил привинтить к своей системе на чипе ESP8266 авторизацию. А то у меня раньше было все открыто наружу, пока в систему полива растений не забрел хацкер. Он конечно ничего там не понял, но нашел прямо на титуле удобный онлайн-редактор файлов и переправил в index.htm «Система полива» на «Залупа конская». Потом пришел я, нажал соседнюю кнопочку «upgrade», система сверила с сайтом-базой все свои файлы и автоматом перезалила измененные. На том хак и завершился. Но на всякий случай я порт наружу отключил.

Короче, решил я теперь привинтить нормальную авторизацию. Полез читать, распознает ли esp8266 браузерные Cookie и нарыл дивное. Это была предыстория. Вот что нашел.

Короче, какой-то альтернативно одаренный человек написал на чистом С под ESP «систему авторизации». Работает она следующим образом: по линку /login получает от пользователя username и password. Честно сравнивает, чтоб и то и другое совпадало с нужным, прописанным в коде. И если совпадает — то сервер ESP8266 выдает в ответ Cookie «ESPSESSIONID=1», и отныне этот зашедший браузер считается админом. А по команде /logout соответственно перезабивает куку на «ESPSESSIONID=0» — и уже больше не админ.

И да, вы догадались правильно: в любой другой ситуации сервер чипа ESP смотрит, если у пришедшего имеется Cookie «ESPSESSIONID=1» — значит, это админ...

Короче, чувак накодил такую систему на сраном Гитхабе. После чего тысячи долбоебов принялись ее тянуть и прилаживать к своим проектам! Пароли и логины, разумеется, они там свои в код вписывают. Наверно придумывают пароли посложнее, заглавные и строчные, не менее одной цифры и специальный знак — всё в лучших традициях хомячковой паранойи. Но реально по словам «ESPSESSIONID=1» гуглится тонна говнокода!

Короче, если вы вдруг в сетях обнаружили веб-мордочку какого-нибудь умного дома, самодельного градусника, пульт управления соседским самогонным аппаратом или ещё какой-то мелкий говнопроект на чипе 8266, и он требует логина... То просто запишите себе в браузере для этой мордочки Cookie ESPSESSIONID=1 — и с большой вероятностью то был клон вышеописанного говнопроекта, и вы теперь однозначно админ. Возможно, даже достаточно будет написать на этой мордочке в строке браузера: javascript:document.cookie='ESPSESSIONID=1';



это перепост заметки, оригинал находится на моем сайте: https://lleo.me/dnevnik/2019/07/31_esp


(Читать комментарии)

Добавить комментарий:

Как:
( )анонимно- этот пользователь отключил возможность писать комментарии анонимно
Identity URL: 
имя пользователя:    
Вы должны предварительно войти в LiveJournal.com
 
E-mail для ответов: 
Вы сможете оставлять комментарии, даже если не введете e-mail.
Но вы не сможете получать уведомления об ответах на ваши комментарии!
Внимание: на указанный адрес будет выслано подтверждение.
Имя пользователя:
Пароль:
Тема:
HTML нельзя использовать в теме сообщения
Сообщение:



Обратите внимание! Этот пользователь включил опцию сохранения IP-адресов пишущих комментарии к его дневнику.