Autor | Zpráva | ||
---|---|---|---|
colorshock Profil |
#1 · Zasláno: 15. 6. 2011, 18:10:36 · Upravil/a: colorshock
Zdravim,
chci se zeptat zda-li nekdo nevi v jakým způsobem je zašifrovaný či zahashovaný v tomto případě heslo (pass). Je to můj výstup v XML. Zdá se mi to dosti nezabezpečený tudíž bych rád věděl jestli se to dá nějakým způsobem rozšifrovat či nikoliv <user> <login>Nick1</login> <pass>]6;EEw'!</pass> <jmeno>ted nevim</jmeno> <adresa>ebrwt</adresa> <mesto>wrhwr</mesto> <psc>73834</psc> <tel>700000001</tel> <email>nick1@seznam.cz</email> </user> <user> <user> <login>Nick2</login> <pass><9;$"!"$</pass> <jmeno>ted nevim2</jmeno> <adresa>ebrwt</adresa> <mesto>wrhwr</mesto> <psc>73834</psc> <tel>700000002</tel> <email>nick2@seznam.cz</email> </user> Diky |
||
ShiraNai7 Profil |
#2 · Zasláno: 15. 6. 2011, 18:16:31
colorshock:
Nevím, zda je to šifra či hash. Obě sekce "pass" mají stejnou délku - 8 znaků. Pokud to je šifra, tak existuje samozřejmě možnost, že to někdo rozlouskne. Pokud je to veřejně dostupné a útočník by z toho něco měl tak si buď jistý, že to i rozlouskne. „Je to můj výstup v XML.“ Tak to bys pak měl vědět, odkud a jaká data tam dáváš. |
||
colorshock Profil |
#3 · Zasláno: 15. 6. 2011, 18:17:42
Ne že bych to dělal já.. .) No jsou tada z eshopu, takze si pres to nekdo muze objednavat zbozi pokud zjisti hesla atd..
|
||
ShiraNai7 Profil |
#4 · Zasláno: 15. 6. 2011, 18:22:04
Pokud je tento XML výstup veřejně dostupný, tak je už z principu jasné, že je to špatně. Nikdo by neměl mít možnost vidět hesla uživatelů, ať už jen zašifrované (horší varianta) či hash.
|
||
vynalezce Profil |
#5 · Zasláno: 15. 6. 2011, 21:39:08 · Upravil/a: vynalezce
ShiraNai7:
+1... Pochybuju, že někdo, kdo udělá tohle se zmotá na použití hashování / nějakého kvalitního šifrování... Pokud chceš vědět, jak se šifruje, tak si buďto projdi zdroják registrace nebo si s tím trochu pohraj ;-) (ověř, jestli se solí - regni 2 usery se stejným heslem; zkus změnit délku hesla a sleduj, co se stane; změň jeden znak a ověřuj, jestli se změní i další znaky; zkus taky zaregistrovat např. s heslem aaaaa pokud ti vyleze 5 shodných znaků, tak je to jasný.....; atp.......) A nebo sem prostě hoď hesla těch dvou userů a dost možná to tu někdo zlomí... Osobně hádám posun o pár znaků v rámci ASCII tabulky... Mimochodem, drobná korekce: <pass><9;$"!"$</pass> >> <pass><9;$"!"$</pass> htmlspecialchars() v tom dělá trochu bordel..... Ps. Doporučuju přístup na ten soubor bloknout v .htaccess |
||
shaggy Profil |
#6 · Zasláno: 15. 6. 2011, 22:58:11
vynalezce:
Nech na to pozerám, ako pozerám, ale aj po tvojej (nepodarenej) korektúre má druhé heslo tiež 8 znakov. Skús si ešte raz previesť tú entitu. |
||
vynalezce Profil |
#7 · Zasláno: 16. 6. 2011, 15:38:27
shaggy:
A jo sakra... Středník.... |
||
Časová prodleva: 13 let
|
0