Как посмотреть код сайта если запрет
Перейти к содержимому

Как посмотреть код сайта если запрет

  • автор:

HackWare.ru

Этичный хакинг и тестирование на проникновение, информационная безопасность

Обход запрета показа исходного HTML кода, обход социальных блокировщиков и других мер противодействия сбору информации о сайте

Можно ли надёжно защитить HTML код веб-страницы

Исходный код веб-страницы невозможно защитить от просмотра. Это факт. Но можно в некоторой степени усложнить задачу анализа кода. К совершенно пустым, неэффективным способам можно отнести блокировку правой кнопки мыши. К более эффективным средствам можно отнести обфускацию кода. Особенно если код не присутствует в исходном тексте страницы, а подгружается из разных файлов с помощью JavaScript и если на разных этапах (сам JavaScript и HTML) также обфусцированны. В этом случае всё становится намного труднее. Но такие случае довольно редки — чаще встречаются на веб-сайтах очень крупных компаний. Мы же рассмотрим более простые варианты.

Как просмотреть исходный HTML код веб страницы, если заблокирована правая кнопка мыши и сочетание клавиш CTRL+u

Если правая кнопка мыши не работает, то просто нажмите CTRL+u. Мне попался сайт, в котором CTRL+u также отказалась работать:

CTRL+u можно отключить с помощью JavaScript и именно эта техника используется на том сайте. То есть первый вариант очевиден — с выключенным JavaScript исходный код не будет «заблокирован».

Другой вариант — это в меню браузера найти опцию «Показать исходный код». В Firefox эта опция есть, но лично у меня всегда уходит много времени, чтобы её найти ))) В Chrome я эту опцию вообще не могу найти в меню браузера, поэтому запомните строку

view-source:

Если эту строку добавить перед любым адресом сайта и всё это вставить во вкладку веб-браузера, то будет открыт исходный код данной страницы.

Например, я хочу посмотреть HTML страницы https://suip.biz/ru/?act=view-source, тогда я вставляю строку view-source:https://suip.biz/ru/?act=view-source во вкладку веб-браузера и получаю в ней исходный код.

Кстати, если вам трудно запомнить view-source, то вот здесь соответствующий сервис: https://suip.biz/ru/?act=view-source (только не надо смеяться над его «сложностью» — всего в жизни не запомнишь, и иногда реально проще открыть такую страницу и с помощью неё получить нужную для просмотра исходного кода строку).

Кстати по поводу отключения JavaScript — необязательно лазить в «глубинные» настройки браузера и искать где эта опция. Можно даже не отключать JavaScript, а приостановить выполнение скриптов для конкретной страницы.

Для этого нажмите F12, затем в инструментах разработчика перейдите во вкладку Sources и нажмите там F8:

Теперь на странице сайта будет работать сочетание клавиш CTRL+u, как будто бы его никогда не отключали.

Обход социальных блокировщиков

Социальный блокировщик выглядит примерно так:

Суть в следующем, чтобы просмотреть содержимое, нужно «лайкнуть» эту статью в социальной сети.

«Под капотом» там всё (обычно) так: «скрываемый» текст уже присутствует в HTML странице, но спрятан с помощью свойства стиля style=»display: none;». Поэтому достаточно:

  1. открыть HTML страницы, защищённой социальным блокировщиком
  2. найти там все вхождения style=»display: none;» — обычно их не очень много.

Пример «взлома» социального блокировщика:

Но каждый раз лазить в исходный код не очень удобно и я… сделал онлайн сервис, который сам извлекает для вас данные, скрываемые социальными блокировщиками, его адрес: https://suip.biz/ru/?act=social-locker-cracker

Там я реализовал обход четырёх социальных блокировщиков и добавил «эвристический» анализ — он включается если никакой из этих 4 х блокировщиков не подошёл, то тогда просто выводится содержимое всех блоков с style=»display: none;».

Кстати, если вам попались страницы, которые этот сервис не может обойти — просто напишите в комментариях ссылку на проблемную страницу — я добавлю соответствующий «обработчик».

Тот сайт, который я показываю на скриншотах, как будто бы распространяет пиратское ПО. Я посмотрел ссылки с помощью обходчика социальных блокировщиков — оказалось, что все скрытые ссылки абсолютно беспонтовые: ведут на демо версии программ или вообще на официальный сайт. В некоторых статьях ссылок вообще нет. Такой «маркетинг» меня заинтересовал и я решил поискать другие сайты этого же автора.

Поиск сетки фальшивых пиратских сайтов

Этот сайт за CloudFlare — Ha ha, classic!

  • Cloudflare, Inc. — это сегодняшние IP адреса
  • GoDaddy.com, LLC — аукцион, парковщик доменов и тому подобное
  • Contabo GmbH — вполне возможно реальный хостинг, где размещён этот сайт

Итак, вероятно, что IP этого сайта 173.249.15.230. На securitytrails на настоящее время по этому IP информации о связанных с ним сайтов нет.

Поэтому идём на сервис «Список сайтов на одной IP», в качестве исходных данных вводим 173.249.15.230 и получаем там:

  • haxsofts.com
  • crackways.com
  • crackmafia.org

Все сайты схожей тематики, везде есть социальный блокировщик, везде вместо вареза ссылки на демо версии, ссылки на официальные сайты, либо просто ничего нет под закрытым контентом.

Верификация IP сайта с помощью cURL

Для верификации IP обычно я использую следующую команду:

curl -v 173.249.15.230 -H 'Host: АДРЕС_САЙТА'
curl -v 173.249.15.230 -H 'Host: macwinsofts.com'

Или так, если нужно проверить сайт на HTTPS протоколе:

curl -v https://173.249.15.230 -H 'Host: macwinsofts.com'

Но сервер 173.249.15.230 настроен так, что абсолютно любой хост, хоть даже если туда написать «dfkgjdfgdfgfd» он перенаправляет на адрес с HTTPS, то есть на «https://dfkgjdfgdfgfd». А запросы по HTTPS сам сервер не принимает вовсе — там веб-сервер не настроен на их обработку и 443 порт даже не октрыт.

В принципе, доказать, что данный сервер настроен на обработку хоста macwinsofts.com можно косвенно, например, данный запрос практически мгновенно вызовет ошибку 503:

curl -v 173.249.15.230/wp-content/uploads/2018/10/ReiBoot-Crack-Mw.png -H 'Host: fake.com'

А вот данный запрос хотя в конечном счёте также вызовет ошибку 503, но заставит сервер надолго «задуматься»:

curl -v 173.249.15.230/wp-content/uploads/2018/10/ReiBoot-Crack-Mw.png -H 'Host: macwinsofts.com'

Видимо, там из-за особенностей настройки происходят бесконечный редиректы и в конце концов соединение сбрасывается по таймауту.

Это способ позволяет в том числе брутфорсить файлы и папки:

curl -v 173.249.15.230/.htaccess -H 'Host: macwinsofts.com'

И совсем интересный результат вызывает вот такой запрос:

curl -v 173.249.15.230/wp-content/uploads/2018/10/ReiBoot-Crack-Mw.png -H 'Host: ya.com'

Заключение

В чём смысл этих сайтов? На некоторых из них имеются для скачивания .exe файлы — возможно вирусы или какая-то сомнительная монетизация. Хотя я проверил по virustotal — вроде бы, файл не вредоносный. Те сайты, у которых нет исполнимых файлов для скачивания, видимо, дожидаются роста посещаемости, чтобы затем начать распространять этот исполнимый файл.

Возможно владелец ожидает роста посещаемости для включения настоящей монетизации или распространения вирусов.

Связанные статьи:

  • Утилиты для сбора информации и исследования сети в Windows и Linux (56.3%)
  • Исследование на основе открытых источников с OSRFramework (поиск по почте, нику, домену) (55.5%)
  • Social Mapper: инструмент анализа социальных сетей, который ищет связь между профилями через распознавание лиц (55.5%)
  • Построение интерактивных карт камер, принтеров, твитов и фотографий (55.5%)
  • Как сохранить всю информацию из профилей Facebook (55.5%)
  • Продвинутое слежение за Wi-Fi устройствами (RANDOM — 50.7%)

факультете информационной безопасности от GeekBrains? Комплексная годовая программа практического обучения с охватом всех основных тем, а также с дополнительными курсами в подарок. По итогам обучения выдаётся свидетельство установленного образца и сертификат. По этой ссылке специальная скидка на любые факультеты и курсы!

Просмотр HTML-кода — не преступление

В последнюю версию браузера Chrome 98 добавили функцию, с помощью которой администратор локальной сети может блокировать просмотр HTML-кода страниц в браузере.

Это сделано в первую очередь для учебных заведений, где школьники таким способом обходят блокировку и фильтры. Однако специалисты по безопасности и разработчики выражают опасение, что тем самым создаётся неприятный прецедент. Ведь HTML изначально создавался как полностью открытый стандарт. Никогда не предполагалось его прятать от посторонних глаз.

Всё это происходит на фоне истории с американским веб-разработчиком и журналистом, который нашёл конфиденциальные данные прямо в коде HTML на сайте правительства штата Миссури — и написал про это безобразие. Теперь ему грозит тюремный срок за хакерство.

Если кто-то не слышал о той истории, в октябре 2021 года журналист и веб-разработчик Джош Рено (Josh Renaud) опубликовал статью в местной газете St. Louis Post-Dispatch с описанием уязвимости в коде веб-приложения на сайте департамента начального и среднего образования штата Миссури.

Сайт департамента начального и среднего образования штата Миссури

Уязвимость выдавала номера социального страхования школьных учителей, администраторов и другого персонала (всего более 100 000 человек). На сайте была функция поиска, которая позволяла любому желающему без авторизации просмотреть информацию об учителях штата Миссури. В качестве поиска можно было ввести фамилию или четыре последние цифры номера социального страхования. Но из-за ошибки программного обеспечения сервер прописывал в HTML-коде страниц полные номера SSN — и отправлял клиенту.

Конкретный баг в CMS не называется, но говорится, что он известен уже более 12 лет.

Перед публикацией информации газета дала время школьному департаменту исправить уязвимость, а потом опубликовала информацию. В ответ школьный департамент обвинил журналиста и газету в разглашении конфиденциальных данных. В официальном пресс-релизе заявляется, что «хакер взял записи по крайней мере трёх педагогов, расшифровал исходный код HTML и просмотрел номер социального страхования (SSN) этих конкретных педагогов».

В реальности газета нашла девятизначные номера в коде HTML, в открытом виде — и проверила по сторонним базам, что эти цифры действительно являются номерами SSN трёх действующих сотрудников. Консультацию и помощь в проверке предоставил Шаджи Хан, профессор по информационной безопасности университета Миссури-Сент-Луиса.

Дальше ситуация начала накаляться. Педагогов неожиданно поддержал губернатор Майкл Парсон, который поручил полицейскому департаменту завести уголовное дело и расследовать «это преступление против учителей нашего штата Миссури». Якобы журналист взломал сайт департамента образования и разгласил приватные данные. Власти также начали расследование действий профессора Хана, к нему домой пришёл полицейский патруль для опроса.

Специалисты по информационной безопасности в один голос говорят, что просмотр открытого кода HTML нельзя считать преступлением. Но профессор уже нанял адвоката для возможной защиты в суде, потому что неизвестно, чем закончится эта история…

Что касается новой функции Chrome, там речь идёт об «исправлении бага» в системе URLBlocklist. Это списки разрешённых или запрещённых URL, которые прописываются в корпоративных политиках Chrome Enterprise и действуют для браузеров Chrome и устройств под операционной системой ChromeOS (такие дешёвые ноутбуки часто устанавливают в школах).

Школьники обходят блокировку копированием в онлайновый редактор HTML-кода страницы из поисковой выдачи Google. На видео, которое показал разработчикам Chrome учитель одной из школ Иллинойса, внешний сайт открывается внутри стороннего редактора htmledit.squarefree.com, куда загружается исходный код страницы с поисковой выдачей Google.

Кроме запуска посторонних игр, школьники якобы используют просмотр HTML-кода для читерства, чтобы узнать правильные ответы во время экзамена, если система запроектирована некорректно.

Конечно, апдейт не позволит самим сайтам скрывать свой код. Но есть опасения, что всё к этому идёт.

HTML — это базовый язык для веб-разработки. Неотъемлемое свойство веба — прозрачность. По умолчанию страницы все статичные страницы на сервере публично доступны и открыты для просмотра. В этом и суть публично доступной информации. Так было изначально задумано разработчиками WWW.

Однако некоторые владельцы сайтов думают, что им принадлежит право собственности на HTML-код — и можно запретить другим людям смотреть на него. В принципе, логика понятная. Но в этом случае нужно выполнять код на сервере — и отправлять в браузер только результат. А если код отправлен в браузер пользователя, сохранён на его компьютере (в кеше) и проиндексирован поисковыми системами, то как-то странно угрожать уголовным преследованием за просмотр этой информации.

  • Блог компании GlobalSign
  • Информационная безопасность
  • Веб-разработка
  • Браузеры
  • Законодательство в IT

Как посмотреть код сайта если запрет

Онлайн сервисы на основе HackWare.ru

Составление диапазонов IP

  • Географические единицы и их IP адреса
  • Все IP населённого пункта (области, города)
  • Все IP страны
  • Все IP провайдера
  • Все IP континента
  • Все IP Автономной Системы (AS)
  • Диапазоны IP-адресов всех Интернет-провайдеров и организаций

Узнать информацию о себе

  • Узнать свой IP
  • Узнать свой User Agent
  • Проверка на раскрытие реального IP адреса за прокси
  • Трассировка до меня
  • Есть ли у меня IPv6

Сбор информации

  • Узнать информацию об IP
  • Узнать информацию об IPv6
  • whois об IP или о сайте
  • Определение системы управления сайтом (CMS)
  • Разнообразная информация о сайтах
  • Похожие доменные имена
  • Сайты на одном IP
  • Узнать IP сайта
  • История IP адресов сайта
  • Посмотреть все DNS записи сайта
  • Просмотр определённых DNS записей сайта
  • HTTP заголовки ответа
  • Определить куда ведёт ссылка
  • Проверка, где «засветился» адрес электронной почты
  • Поиск профилей по нику пользователя
  • Поиск профилей по полным именам и другой информации
  • Проверка зарегистрированных доменов в разных зонах
  • Преобразовать IP адрес в имя хоста
  • Получение номера Автономной Системы по IP адресу
  • Поиск пользователя в социальных сетях
  • OSINT инструмент сбора данных о сайтах
  • Просмотр .onion сайтов (скрытых сервисов) из Даркнета
  • Сканер NetBIOS, SMB и Samba
  • Проверка доступности сайтов через Tor

Извлечение информации из кэша и веб архивов

  • Показ страницы из кэша Гугл
  • Одновременный поиск по нескольким веб архивам

IP калькуляторы

  • Калькулятор IP подсетей
  • Калькулятор IPv6 подсетей
  • Конвертер IP адресов
  • Агрегатор IP адресов, масок, подсетей
  • Диапазоны сетей в CIDR
  • Разбивка подсети по маске
  • Разбивка подсети по количеству IP
  • Двоичный IP в стандартный вид
  • Преобразование в двоичный вид
  • Десятичный IP в нормальную форму
  • Конвертация IP в десятичную форму
  • Шестнадцатеричный IP в нормальную форму
  • Конвертация IP в шестнадцатеричное число
  • Преобразование восьмеричного числа в IP
  • Конвертация IP в восьмеричное число
  • Разжатие IPv6
  • Конвертация в CIDR и агрегация диапазонов IP
  • Конвертация CIDR нотации в диапазоны IP

Обход запрета показа исходного HTML кода, обход социальных блокировщиков

  • Сервис обхода блокировок просмотра исходного кода страницы
  • Обход социальных блокировщиков

Продвинутое использование поисковых систем

  • Продвинутый поиск в Гугл
  • Продвинутый поиск в Яндекс

Работа с кодировками

  • Определить кодировку и преобразовать в читаемый вид
  • Кодирование файлов и строк в Base64
  • Декодирование файлов и строк из Base64

Инструменты противодействия CloudFlare

  • Проверка сайт на CloudFlare
  • Раскрытие реального IP сайта за сетью CloudFlare, используя неправильно настроенные DNS и базу данных старых записей
  • Раскрытие реального IP сайта за Cloudflare, Incapsula, SUCURI и другими WAF

Изображения и метаданные

  • Узнать где сделана фотография
  • Метаданные файла
  • Очистка метаданных в фотографиях
  • Очистка метаданных в офисных и других файлах
  • Универсальный конвертер изображений
  • Просмотр уровня качества JPG (степень сжатия изображения)
  • Конвертация PDF в JPG
  • Конвертация JPG в PDF
  • Скриншот веб-сайта
  • Проверка веб камеры

Информация о номерах телефонов

  • Узнать оператора и город по номеру
  • Узнать все номера телефонов оператора и города
  • Международные телефонные коды

Сканеры уязвимостей веб-сайтов

  • Сканирование WordPress на уязвимости
  • Проверка сайта на sql инъекции
  • Проверка Drupal, SilverStripe и WordPress

Сканеры уязвимостей, открытых портов и запущенных служб веб-серверов

  • Сканирование сервера (Nikto)
  • Сканирование открытых портов и запущенных служб онлайн (Nmap)
  • Продвинутые сканирования Nmap онлайн
  • Сканирование портов на IPv6 адресах
  • Тестирование шифрования TLS/SSL
  • Сканер заголовков ответа HTTP на безопасность
  • Определение WAF (файервола веб приложений)

Субдомены и скрытые файлы

  • Поиск всех субдоменов сайта
  • Поиск поддоменов сайта (второй метод)
  • Мгновенный поиск субдоменов (поддоменов) любого сайта (третий метод)

Получение информации по MAC-адресам

Анализ работы веб-сервера

  • Анализ логов Apache
  • Пинг IP и IPv6 адресов
  • Трассировка IP, IPv6 и веб-сайтов

Работа с хешами

  • Определение типа хеша
  • Генератор NTLM хешей

Анализ электронных писем

Анализ файлов

  • Определение типа файла без расширения
  • Извлечение всех строк из исполнимого файла
  • Показать информацию об исполнимом файле
  • Извлечение содержимого из .DS_Store

Конвертация

  • Конвертация географических координат из десятичного вида в градусы, минуты и секунды
  • Конвертация географических координат из градусов в десятичный вид
  • Генератор QR-кода для текста
  • Генератор QR-кода для координат
  • Генератор QR-кода с номером телефона
  • Генератор QR-кода с адресом сайта или файлом для загрузки
  • SMS-сообщение в QR коде
  • E-mail в QR коде
  • Генератор QR кода для подключения к Wi-Fi
  • QR код для добавления контакта в адресную книгу
  • QR код для добавления события в календарь

Служебные страницы

  • Использование ресурсов сервера
  • Поиск по базе IP без очистки
  • Донат

Лучший хостинг Рунета:

  • Заказать хостинг
  • Регистрация доменов
  • Тарифы на хостинг

Сервис покажет исходный HTML код любого сайта

На некоторых сайтах заблокирован вызов контекстного меню мыши, по этой причине не всегда можно быстро посмотреть исходный код. Иногда на этих сайтах может сработать сочетание клавиш CTRL+u, с помощью которого можно открыть исходный код.

На некоторых сайтах горячие клавиши CTRL+u заблокированы. Возникает вопрос, как посмотреть исходный код HTML при заблокированной правой кнопке и CTRL+u? Этот сервис поможет вам быстро решить эту проблему для абсолютного любого сайта и любой страницы — просто введите адрес веб страницы и откроется новая вкладка, в которой вы увидите исходный код HTML.

Примеры ввода адресов страниц:

  • https://hackware.ru/?p=6045
  • https://suay.ru/?p=857

If you want to contribute, you can make donation for adding new services:

Как посмотреть код сайта если запрет

Сообщения: 48
Благодарности: 0

Есть страница. Состоит из трех областей. По двум можно нажать правой кнопкой и выбрать просмотр html-кода, а по нужной нельзя — видимо, стоит запрет. Страница открывается только браузером Internet Explorer, та страница, котораую нужно просмотреть, доступна только при аутентификации. Адрес в адресной строке всегда одинаковый. Как можно просмотреть код? При нажатии правка — просмотр кода показывает код не той страницы, которая нужна. При попытке сохранитьь страницу страница сохраняется, во-первых, зашифрованной в base64, во-вторых, сохраняет без аутентификации, т.е. при попытке открыть эту страницу открывается страница с сообщением «время вашей авторизации истекло».

Сообщения: 7318
Благодарности: 1204

Конфигурация компьютера
Процессор: Intel Core i5-2500K (-> 4.2 ГГц)
Материнская плата: AsRock P67 Pro3 (Socket 1155)
Память: 2×4096 МБ DDR3-1333 Kingston (-> 1600 МГц)
HDD: Hitachi 2 ТБ + 0,75 ТБ (SATA2), SSD: OCZ Vertex3 (120 ГБ, SATA3)
Видеокарта: VTX3D Radeon 7950
Звук: Asus Xonar DS (PCI)
Блок питания: Chieftec CTG-550-80P (550 Вт, октябрь 2011)
CD/DVD: DVD-RW LiteOn iHAS124 (SATA2)
Монитор: Dell U2412M (24″, 1920×1200, e-IPS)
ОС: Windows 7 Ultimate x64
Индекс производительности Windows: 7.6
Прочее: Кулер Zalman 10X Performa

Декодируйте Base64 и удалите код, отвечающий за проверку аутентификации.
А вообще, проще было бы говорить о чём-то, что видишь, а не об абстрактном «есть страница».

Добавить комментарий

Ваш адрес email не будет опубликован. Обязательные поля помечены *