теперь у всех будет этот пароль.
07.08.2014, 19:51
При наличии непосоленных хешей - легко
Нету. Сейчас на всех приличных сайтах пароли солено-перченые, да и хэшируются медленные функциями. Радужные таблицы уже почти бессмысленны.
Чаще взлом - банальный брутфорс или старая версия по или социальная инженерия.
Чаще взлом - банальный брутфорс или старая версия по или социальная инженерия.
Хеш имеет чётко определённый размер. Например MD5 имеет 16 байт, значит существует 256^16 различных MD5 хешей. Вариантов же входных данных -- бесконечное множество.
Поэтому существует такое понятия, как коллизия хешей -- это когда две разные входные информации дают один и тот же хеш.
Поэтому существует такое понятия, как коллизия хешей -- это когда две разные входные информации дают один и тот же хеш.
Не - цель хэша, как правило, сравнить 2 объекта быстро. Ну и еще структуры в памяти на хэш-таблицах часто встречаются.
Применение для баз паролей несколько вторичное и ближе всего к кодированию с потерями - и как написал товарищ
Грозовой Разряд выше: для паролей применяется совсем другое семейство хэш-функций, и еще и специя в добавок.
Применение для баз паролей несколько вторичное и ближе всего к кодированию с потерями - и как написал товарищ
Грозовой Разряд выше: для паролей применяется совсем другое семейство хэш-функций, и еще и специя в добавок.
проблема не в том, чтобы Прid00мat'Сл0>|
а-а-а!!! я баг на джое нашел!!!
кому писать?
кому писать?
"это не баг, это фитча".
дабы некоторые редиски не баловались тегами в коментах (к примеру были такие персонажи, что пихали невидимый флэш контейнер в коменты, который начинал "вздыхать"), парсер режет все теги кроме img, div и еще нескольких. а те что не режет жестко проверяет на "безопасность". к примеру выкоцывает все style атрибуты а картинки из тегов img перезаливает на хостинг реактора.
когда ты писал литспиком букву "Ж", ты поставил открывающуюся угольную скобку (хз как она верно называется но не суть). с них же начинаются все html теги. парсер реактора перед отправкой комента проверил твой сообщ и нашел что то похожее на хтмл тег. а дальше уже одно из двух - либо он удалил все что внутри этого "тега" потому что "тег" был неверен с точки зрения синтаксиса (к примеру ты его не "закрыл" закрывающейся угольной скобкой) либо же потому что он не нашел такой тег у себя в "вайт-листе" тегов.
так что бага нет, так и должно было быть
дабы некоторые редиски не баловались тегами в коментах (к примеру были такие персонажи, что пихали невидимый флэш контейнер в коменты, который начинал "вздыхать"), парсер режет все теги кроме img, div и еще нескольких. а те что не режет жестко проверяет на "безопасность". к примеру выкоцывает все style атрибуты а картинки из тегов img перезаливает на хостинг реактора.
когда ты писал литспиком букву "Ж", ты поставил открывающуюся угольную скобку (хз как она верно называется но не суть). с них же начинаются все html теги. парсер реактора перед отправкой комента проверил твой сообщ и нашел что то похожее на хтмл тег. а дальше уже одно из двух - либо он удалил все что внутри этого "тега" потому что "тег" был неверен с точки зрения синтаксиса (к примеру ты его не "закрыл" закрывающейся угольной скобкой) либо же потому что он не нашел такой тег у себя в "вайт-листе" тегов.
так что бага нет, так и должно было быть
как веб-девелопер, должен заметить, что так быть не должно
а левую скобку следует заменять на православное < - и будет щасте ;)
а левую скобку следует заменять на православное < - и будет щасте ;)
Вообще, у джоя парсер очень странный - выпиливает всё, что имеет знаки этих скобок, и что не разрешенный тег.
Хотя, по-хорошему, должен, при обнаружении того, что содержимое скобок не является разрешенным тегом, менять скобки на "& lt;" и "& gt;" (без пробелов)
<My fucking tag>
Хотя, по-хорошему, должен, при обнаружении того, что содержимое скобок не является разрешенным тегом, менять скобки на "& lt;" и "& gt;" (без пробелов)
<My fucking tag>
ну вобщем верно. всегда есть "адекватное решение" и "простое решение". движок джоя это просто огромный пример использования второго решения. почти все здесь реализовано самым простым способом
что то вроде самопального. когда то давно, видимо рей, писала про него (именно помню то писалА) на хабре и какое то время он был открыт для использования кем угодно. потом его из общего доступа изъяли и с тех пор минуло уже ооочень много апдейтов. помню тут кто то делал пост о том что наткнулся на какой то сайт по сказкам на той, еще открытой версии двигла.
Эмм, да кому вообще нужен пароль от вашего контакта? А если понадобится то вас разведут каким-нибудь емейлом в духе "Это специалист службы поддержки". Социальная инженерия работает гораздо быстрее и эффективней чем перебор паролей, да и длинна в этом случае значения не имеет.
Это банальный пример. Но стоит посмотреть историю взломов - в первую очередь виноват человеческий фактор. Если ты не дашь пароль, то твоя мамочка с удовольствием послушает специалиста техподдержки и поставит необходимый троян. У социальной инженерии сотни подходов. А уязвимость есть всегда.
Так тебе и не будут писать/звонить всякие темные личности. Тебе позвонит IT специалист с работы или начальник и попросит пароль от твоего компьютера или самому приехать на работу в субботу в 8:00. Нам всем ясно, что большинство выберет не вставать с постели и уж точно не тащиться на работу в выходной. Вот и есть ваш пароль у злоумышленника.
Я не говорю, что это будете именно вы. Может быть вы гениальный психолог и сами занимаетесь социальной инженерией.
Я не говорю, что это будете именно вы. Может быть вы гениальный психолог и сами занимаетесь социальной инженерией.
Ну подразумевается что:
а). я не знаю голоса и номера телефона начальника/IT-шника.
б). я таки неграмотный мудак, раз не понимаю, что начальнику/IT-шнику мой пароль ни к чему, т.к. если он от рабочей машины/почты/базы etc., то они его и так знают, а если от чего-то личного, то они и так идут нахуй.
в). что злоумышленник знает мой номер телефона, и ему нужен доступ именно к моей машине/почте etc. Только в таком случае это оправдывает потраченное время.
Ну и, наконец, я говорил именно про имейл/сообщение от "техподдержки". Звонки и, например, обшаривание рабочего места в поисках бумажки с паролем (а вот такие долбоёбы с бумажками встречаются массово) я в расчёт не брал, ибо трудозатраты на получение совсем другие.
Впрочем,
а). я не знаю голоса и номера телефона начальника/IT-шника.
б). я таки неграмотный мудак, раз не понимаю, что начальнику/IT-шнику мой пароль ни к чему, т.к. если он от рабочей машины/почты/базы etc., то они его и так знают, а если от чего-то личного, то они и так идут нахуй.
в). что злоумышленник знает мой номер телефона, и ему нужен доступ именно к моей машине/почте etc. Только в таком случае это оправдывает потраченное время.
Ну и, наконец, я говорил именно про имейл/сообщение от "техподдержки". Звонки и, например, обшаривание рабочего места в поисках бумажки с паролем (а вот такие долбоёбы с бумажками встречаются массово) я в расчёт не брал, ибо трудозатраты на получение совсем другие.
Впрочем,
Ну а я говорил вообщем о социальной инженерии. Если кому-то понадобится ваш пароль от аккаунта (неважно какого), то он его получит, просто вырубив вас в подворотне или выбив из вас нужную информацию под наркотиками.
Звонит обычно человек представляющийся стажером в IT отделе. И неужели в 8:00 вы можете узнать голос IT-шника? Ну тогда у вас отличный слух и концентрация, я вам завидую.
Звонит обычно человек представляющийся стажером в IT отделе. И неужели в 8:00 вы можете узнать голос IT-шника? Ну тогда у вас отличный слух и концентрация, я вам завидую.
377 billion years
идиоты, это просто базу паролей для брута собирают, а вы и рады.
Я не знаю сколько людей ввело туда свой пароль. Я - нет.
не знал, что за изменение регистра в РФ теперь такие сроки накидывают)
Вы действительно вводите свои действующие пароли для проверки их криптозащищённости? И это после обсуждений преимущества социальной инженерии перед другими методами взлома...
Типа "Пришлите нам номер вашей кредитной карты, и мы проверим есть ли она в базе данных злоумышленников"
Типа "Пришлите нам номер вашей кредитной карты, и мы проверим есть ли она в базе данных злоумышленников"
Ну сказали же, что не ворует пароли. Значит не ворует. Надо больше верить людям... и дельфинам.
Норм, правда на некоторых сайтах задают жесткую длину пароля от 8 до 16 (24-32) символов
брутом подбирать пасс - нуяхз, есть способов других туча.
Q: Как украсть овердохера паролей?
A: Создайте портал, который бы предоставлял пользователям сервис проверки паролей на устойчивость к взлому.
Эти парни определенно денег имеют уйму, благодаря продаже словарей. :3
A: Создайте портал, который бы предоставлял пользователям сервис проверки паролей на устойчивость к взлому.
Эти парни определенно денег имеют уйму, благодаря продаже словарей. :3
если пароль несет смысловую нагрузку - больше шанс его подбора по словарю.
даты судя по всему даны для брутфорса, генерирующего на ходу, тоесть там тупо проходка в стиле:
123
124
125
126 и так далее, наращивая количество симвоволов.
даты судя по всему даны для брутфорса, генерирующего на ходу, тоесть там тупо проходка в стиле:
123
124
125
126 и так далее, наращивая количество симвоволов.
тогда ясное дело, пока брутфорс дойдет до пароля из 20ти единиц, он переберет все возможные варианты, даже если это просто цифры, это огромное количество.
если же это будет словарь, в котором в начале будут варианты от 1 до 111111...111 то на перебор пароля из 20ти единиц уйдет 20 попыток.
если же это будет словарь, в котором в начале будут варианты от 1 до 111111...111 то на перебор пароля из 20ти единиц уйдет 20 попыток.
так быстро взламывается ) если просто мелкими набрать то будет
CONGRATULATIONS!
It would take about 1.553800762196066e+35 years to crack your password.
CONGRATULATIONS!
It would take about 1.553800762196066e+35 years to crack your password.
Чтобы написать коммент, необходимо залогиниться
