Witaj Gościu! ( Zaloguj | Rejestruj )

Forum PHP.pl

 
 Reply to this topicStart new topic
> Skąd wziąć hash, bezpieczeństwo
mrok
post 12.03.2008, 15:11:00
Post #1





Grupa: Zarejestrowani
Postów: 258
Pomógł: 17
Dołączył: 22.05.2007

Ostrzeżenie: (0%)
-----

Witam

Naczytałem się ostatnio o ułomnościach md5, sha1, tęczowych tablicach i tak dalej. Spłycając temat, to problem sprowadza się do uzyskania ciągu, który po przepuszczeniu przez funkcję skrótu da nam hash danego hasła. Nie musi to być oryginalne hasło, tylko hashe maja być identyczne. Wszystko fajnie, ale żeby złamać takie hasło wcześniej musze posiadać ów hash – czyli de facto włamać się np. do bazy danych. Jeśli już jestem w bazie to w jakim celu jeszcze hashe łamać?questionmark.gif Można przecież wprowadzić zmiany bezpośrednio na bazie.

Pozdrawiam
Mrok


--------------------
Mieszkania na Yukatanie | Casa Yucatan Real Estate
Go to the top of the page
+Quote Post
Cysiaczek
post 12.03.2008, 16:21:00
Post #2





Grupa: Moderatorzy
Postów: 4 465
Pomógł: 137
Dołączył: 26.03.2004
Skąd: Gorzów Wlkp.
A co, jeśli hashe, które trzymasz w złamanej bazie danych są hasłami do innych kont/baz?


--------------------
To think for yourself you must question authority and
learn how to put yourself in a state of vulnerable, open-mindedness;
chaotic, confused, vulnerability, to inform yourself.
Think for yourself. Question authority.
Go to the top of the page
+Quote Post
l0ud
post 12.03.2008, 16:47:34
Post #3





Grupa: Zarejestrowani
Postów: 1 387
Pomógł: 273
Dołączył: 18.02.2008

Ostrzeżenie: (0%)
-----

- można przechwycić hasło w inny sposób, niekoniecznie z bazy. Mogę np. podsłuchiwaniem bądź nawet jakimś js (musi być słabość skryptu na ataki XSS) przechwycić hash administratora - po złamaniu zalogować się i zdobyć inne. Później (najlepiej jak już uzyskam bazę użytkowników wraz z ich hashami i adresami stron www) następne strony (i nie tylko! - sporo ludzi używa jednego hasła np. do allegro) lecą jak domino winksmiley.jpg Jak później wyjaśnić takim użytkownikom, że ich hasła wyciekły właśnie z Twojej strony?


--------------------
XMPP: l0ud@chrome.pl
Go to the top of the page
+Quote Post
crackcomm
post 12.03.2008, 17:40:58
Post #4





Grupa: Zarejestrowani
Postów: 184
Pomógł: 6
Dołączył: 23.02.2008
Skąd: Katowice

Ostrzeżenie: (0%)
-----

Polecam pobaic sie SQL Injection tongue.gif
a jesli juz bedziesz mial hasha, to niektore skrypty do cookiesow lub w sesji dodaja nie hasl a hash wiec mysle ze to nic trudnego biggrin.gif


--------------------
Sygnaturka comes here.
Go to the top of the page
+Quote Post
mrok
post 12.03.2008, 18:08:59
Post #5





Grupa: Zarejestrowani
Postów: 258
Pomógł: 17
Dołączył: 22.05.2007

Ostrzeżenie: (0%)
-----

Macie racje. Trochę wstyd, ale o tych mozliwościach nie pomyslalem sciana.gif
Dziekuje


--------------------
Mieszkania na Yukatanie | Casa Yucatan Real Estate
Go to the top of the page
+Quote Post
« Następny starszy · PHP · Następny nowszy »
 

Reply to this topicStart new topic
1 Użytkowników czyta ten temat (1 Gości i 0 Anonimowych użytkowników)
0 Zarejestrowanych:

 

Tryb wyświetlania: Standardowy · Przełącz na: Linearny+ · Przełącz na: Drzewo

Śledź ten temat · Wyślij temat na e-mail · Wydrukuj ten temat · Subskrybuj to forum

RSS Wersja Lo-Fi Aktualny czas: 4.05.2025 - 06:04
Powered By IP.Board © 2025  IPS, Inc.
All changes by PHP.pl Administrators
Hosting zapewnia NQ.pl hosting, trac, svn