[ Alex WebKnacKer ] Хакинг и антихакинг - защита и нападение. Книги удк 004. 056. 5Alex WebKnacKer
 Скачать 42.38 Mb.
|
|
Приложение А 305 В листинге атрибут определяет ресурс, воспроизводимый тегом Для этого используется так называемый уникальный идентификатор который в системе Windows присваивается каждому аплету, созданному на основе средств программирования аплетов, предложенных и развиваемых фирмой Microsoft. • Идентификаторы CLSID используются в программе, по- строенной на основе технологии OLE (Object Linking and Embed- ding - Связывание и внедрение объектов). OLE - это общее на- звание объектно-ориентированных технологий Microsoft, с помо- щью которых одни программы предоставляют свои сервисы дру- гим программам. Вы используете технологию OLE каждый раз, ко- гда, например, перетаскиваете текст из одного текстового доку- мента в другой с помощью буфера обмена Windows. На основе тех- нологии OLE можно, помимо всего прочего, создавать ко- торые в этом случае называются элементами ActiveX. Подробнее с технологией OLE можно познакомиться в одном из множества руководств. Вы, наверное, уже поняли, для чего хакерам может понадобиться тег - конечно же, для запуска на клиентском компьютере программы, которая обес- печит хакеру достижение своих целей. С помощью трюков, использующих не- которые недостатки системы защиты браузеров Web, это сделать не трудно, но перед описанием всех этих интересных возможностей опишем по- следний Язык HTML позволяет воспроизводить документы HTML в нескольких областях окна браузера Web; эти области называются фреймами (от английского «frame» - кадр, окно). Фреймы могут представлять собой независимые окна, или же зани- мать области внутри одного главного окна, деля его на части. Благодаря этому свойству фреймов Web-дизайнеры могут оставлять некоторую информацию до- кумента HTML постоянно видимой в одном фрейме, в то время как остальную информацию воспроизводить в дополнительных фреймах, снабженных средст- вами прокрутки содержимого. Тег позволяет встраивать фреймы непосредственно внутрь текстового фрагмента в документе HTML. В листинге А.З представлен код HTML с тегом который встраивает в текст фрейм, отображающий технические ха- рактеристики автомобиля. Листинг А.З. Пример встроенного фрейма в документе HTML 306 Быстро и легко. и Антихакинг Вашему вниманию предлагается новая модель автомобиля фирмы В Здесь > таблице вы можете увидеть его технические Приложение А 307 группу на прием 308 Быстро и легко. Хакинг и Антихакинг ли ему потребуется отменить (сбросить) введенную информацию, он щелкает на кнопке Сброс. После щелчка на кнопке Отправить клиентский браузер пересы- лает данные, введенные в форму, на сервер, содержащий сценарий обработки данных формы. Этот сценарий автор документа HTML должен указывать с по- мощью адреса присвоив его атрибуту ACTION элемента FORM, например, так, как это сделано в листинге А.4: Здесь указано, что для обработки данных формы следует использовать програм- му addsubs, хранимую в каталоге /prog сервера http://www.anysite.com. Полу- чив от браузера такого рода сообщение, сервер распознает, что указанному в сообщении адресу находится программа. Это заставляет сервер запустить ука- занную программу и передать ей на обработку полученные данные формы. Метод передачи этих данных программе определяется атрибутом элемен- та FORM. В данном случае указан метод post, но имеются и другой, более попу- лярный метод - (оба этих метода описаны в Приложении В). Весь процесс обработки данных формы на сервере организуется согласно про- токолу CGI (Common Gateway Interface - Общий интерфейс), являю- щемуся стандартом, который определяет методы предоставления данных формы обрабатывающей программе и структуру этих данных (см. Приложение В этой книги). После обработки формы сценарий, используя средства, обеспечиваемые протоколом CGI, может переслать клиентскому браузеру ответное сообщение, которое отобразится на его экране. Согласно протоколу CGI информация шлюзам передается в следующем формате. Здесь Имя - это имя передаваемого программе параметра данных (в нашем слу- чае это имя элемента управления формы), а Значение - это фактическое значе- ние параметра (т.е. значение элемента управления). Способ, по которому эта информация передается шлюзу, зависит от метода запроса, указанного атрибу- том METHOD формы. Для определения метода запроса шлюз должен использо- вать переменную окружения (см. Приложение В). В случае метода GET эта строка передается как часть адреса запроса и будет передана шлюзу в переменной окружения (см. Приложение В). В случае метода POST эта информация будет послана в стандартный поток ввода шлюза. В последнем случае объем информации, содержащийся в стандартном потоке ввода, определяется переменной окружения задающей число байтов в потоке. Тип передаваемых шлюзу данных определяется пере- менной окружения Сервер не обязан посылать символ конца потока после успешной пересылки шлюзу значения переменной CONTENT LENGTH. Приложение А 309 Приведем пример обработки формы с помощью описанной выше процедуры. Возьмем в качестве примера форму из листинга А.4. После подтверждения фор- мы и отправки ее данных на сервер для обработки методом POST (поскольку в элементе FORM атрибут METHOD равен "post") в программу-сценарий во вход- ном потоке поступит 42 байта, закодированных таким образом: В этом случае сервер установит значение переменной равным 42, а переменной. равным Первым символом в стандартном потоке ввода для сценария будет символ за которым будет следовать остаток закодированной строки. В командной строке и переменных окружения шлюзу передается множество другой информации. В следующих разделах содержится ее обсуждение (заметь- те, что эта информация применима не только для обработки данных формы). Как видим, все это достаточно прозрачно. Для подготовки Web-узла, на котором будут применяться формы, следует, пользуясь средствами языка HTML, создать сам документ HTML с формами, написать сценарий обработки данных формы, пользуясь возможностями протокола CGI, и поместить документы HTML и про- грамму сценария в соответствующие каталоги на сервере. Их совместную рабо- ту обеспечит инфраструктура Web, обеспечивающая обращения к своим сете- вым ресурсам. Теги позволяют включать в документы HTML так называемые кли- ентские сценарии, представляющие собой мобильный, перемещаемый вместе со Web-страницей, программный код, исполняемый на компьютере-клиенте Web. Загруженные в компьютер сценарии исполняются в ответ на различные события, происходящие с документом HTML, отображаемым в браузере. В число таких событий входят загрузка документа HTML в браузер, перемещение мыши над определенными областями документа HTML, отображаемыми в диалоге браузера, и другие события, аналогичные тем, что происходят при интерактивном взаимо- действии пользователя с диалогами системы Windows. Вообще говоря, сценарии, включаемые в документы HTML, бывают двух типов. • Сценарии, выполняемые один раз при загрузке документа клиентским брау- зером. Для включения в документ HTML таких сценариев следует использо- вать тег Чтобы запустить программу сценария, в код HTML следует встроить обращения к функциям, содержащимся в Введите { } else { 314 Быстро и легко. Хакинг и На Рис. А.5 представлена интерпретация этого примера браузером IE 5. Проверка введенного . Edit Back | Введите пароль My 5. Форма ввода пароля В следующем примере (см. листинг А.6) мы ассоциируем программу обработчи- ка события щелчка на кнопке с методом объекта кнопки с помощью кода = Листинг А.6. Определение обработчика щелчка на кнопке обработчика щелчка на { = П Р И Л О Ж Е Н И Е В. Сценарии и C6I В Приложении А мы описали средства языка HTML 4, позволяющие создавать формы. Теперь рассмотрим вторую часть задачи - обработку данных, введенных пользователем в форму. Опишем несколько подробнее, поэтапно, весь процесс пересылки данных формы и их обработки программой-сценарием на сервере. Вот как это происходит. 1. Клиентский браузер отображает полученный документ HTML с формой и ждет ввода данных в форму. 2. Пользователь вводит данные в форму - устанавливает флажки, переключа- тели, вводит текст и т.д. - и щелкает на кнопке подтверждения формы. • 3. Браузер, на основании требований спецификации HTML 4 определяет набор данных формы, задает адрес URL, указанный в значении атрибута ACTION формы и устанавливает связь с соответствующим сервером Web для пересылки ему набора данных формы. При взаимодействии клиентского компьютера с сервером используется протокол HTTP, кратко описанный в Приложении С данной книги. 4. Сервер разрешает полученный адрес URL, преобразуя его в имя запрашиваемого файла и в полный, физический путь к этому файлу. 5. Сервер определяет, что указанный адресом файл является программой, и следовательно, ему необходимо подготовить соответствующее вычислите- льное окружение и запустить эту программу. 6. Сервер подготавливает набор системных параметров (называемых переменными окружения), требуемых программе для исполнения, и запускает программу. После этого данный сценарий начинает играть роль сервера-посредника между клиентом и сервером хранящим запрашиваемый ресурс; такого рода серверы, по терминологии стандарта HTTP 1.1, называются шлюзами. Работа такого шлюза определяется протоколом CGI (Common Gateway Interface - Общий шлюзовой интерфейс). Этот протокол является сетевым стандартом, разработанным организацией NCSA (National Center for Supercomputing Applications - Национальный центр по применению суперкомпьютеров) специально для создания приложений, исполняемых на информационных серверах Web. 7. Далее работа шлюза зависит от метода, по которому сервер предоставляет ему полученный набор данных формы, указанного атрибутом METHOD элемента FORM. Спецификация HTML 4 поддерживает два метода - POST или GET, которые входят в набор методов запросных сообщений HTTP. 8. Шлюз выявляет (при необходимости) метод, использованный для передачи ему набора данных формы, извлекает данные и производит их обработку. |