Pokaż wyniki 1 do 10 z 10

Temat: sql

  1. #1
    Avatar GSG-9
    GSG-9 jest offline Shapeshifter
    Zarejestrowany
    Jul 2007
    Skąd
    C:\Perl\bin
    Postów
    1,578

    Domyślnie sql

    znalazlem strone podatna na atak sql injection
    wyciagnalem login i haslo zakodowane md5
    po rozkodowaniu zalogowalem sie na admina
    chodzilem po stronce na koncie admina
    powiadomilem admina ze ma dziure w stronie


    moze mi cos zrobic czy potraktuje to normalnie za to ze znalazlem luke na jego stronie?

  2. #2
    Zarejestrowany
    Jun 2006
    Skąd
    rand(.eu)
    Postów
    8,748

    Domyślnie

    zalezy od admina... ja bym podziekowal za info, zmienil haslo i zalatal software... ale oficjalnie przelamales zabezpieczenia wiec podpadasz pod paragraf :-/
    ctrl-alt-del.cc - soft reset site for IT admins and other staff :-)

  3. #3
    Zarejestrowany
    Aug 2007
    Postów
    91

    Domyślnie

    Cytat Napisał GSG-9 Zobacz post
    znalazlem strone podatna na atak sql injection
    wyciagnalem login i haslo zakodowane md5
    po rozkodowaniu zalogowalem sie na admina
    chodzilem po stronce na koncie admina
    powiadomilem admina ze ma dziure w stronie


    moze mi cos zrobic czy potraktuje to normalnie za to ze znalazlem luke na jego stronie?
    pewnie moglby cos zrobic gdybys pisal prawde...
    MD5 to funkcja skrótu ,i nie jest odwracalna...żal... chyba ze brut forcem zlamales ale nie uwierzylbym w to

  4. #4
    Zarejestrowany
    Nov 2006
    Skąd
    Polska/Poland
    Postów
    1,191

    Domyślnie

    to, że jest funkcja MD5 nieodwracalna to nie znaczy, że nie ma szans na jej złamanie - poczytaj na przykład o wywoływaniu kolizji MD5.
    poza tym jak masz pokaźną bazę hash'y MD5 a admin użył wyrazu słownikowego też jest szansa, że trafisz na właściwy hash...
    ***********
    * markossx *
    ***********

  5. #5
    Zarejestrowany
    Aug 2007
    Postów
    91

    Domyślnie

    Cytat Napisał markossx Zobacz post
    to, że jest funkcja MD5 nieodwracalna to nie znaczy, że nie ma szans na jej złamanie - poczytaj na przykład o wywoływaniu kolizji MD5.
    poza tym jak masz pokaźną bazę hash'y MD5 a admin użył wyrazu słownikowego też jest szansa, że trafisz na właściwy hash...
    szansa jak dla mnie bliska 0 , zauwaz ze twoim jedynym zalozeniem jest w tej chwili to ze admin uzyl hasla slownikowego, w innym przypadku nie ma szans.
    Nie chce mi sie wierzyc zeby admin uzyl hasla :dom,pies czy home , dog , ...

  6. #6
    Avatar GSG-9
    GSG-9 jest offline Shapeshifter
    Zarejestrowany
    Jul 2007
    Skąd
    C:\Perl\bin
    Postów
    1,578

    Domyślnie

    ROTFL


    zal napisales do siebie chyba

    md5 ktore uzyskalem mialo pecha znalezc sie na
    http://passcracking.com/ czyli w bazie danych roznych md5
    wiec co za problem miec haslo z md5 wtedy...

    @tanaka
    nieumiesz czytac? zadalem pytanie i chce uslyszec odpowiedz a nie wyklad o niebieskich migdalach
    Ostatnio edytowane przez GSG-9 : 11-26-2007 - 12:43

  7. #7
    Zarejestrowany
    Nov 2006
    Skąd
    Polska/Poland
    Postów
    1,191

    Domyślnie

    to jakiego hasła użył jest w tym wypadku mało istotne.
    Ty uważasz że hash'e MD5 są nie do ustalenia - ja Ci mówię, że jest inaczej - wierzyć nie musisz - zbadaj dokładnie temat to się przekonasz.
    napisałem:
    poza tym jak masz pokaźną bazę hash'y MD5...
    bo właśnie miałem na myśli takie bazy hash'y jakiej użył GSG-9 ale nie chciałem nazywać rzeczy od razu po imieniu...
    ***********
    * markossx *
    ***********

  8. #8
    Avatar gogulas
    gogulas jest offline killboy powerhead
    Zarejestrowany
    Sep 2007
    Skąd
    Tu
    Postów
    1,236

    Domyślnie

    Cytat Napisał tanaka Zobacz post
    szansa jak dla mnie bliska 0 , zauwaz ze twoim jedynym zalozeniem jest w tej chwili to ze admin uzyl hasla slownikowego, w innym przypadku nie ma szans.
    Nie chce mi sie wierzyc zeby admin uzyl hasla :dom,pies czy home , dog , ...
    Musze Cie rozczarowac, pewien rosyjski serwis passcrackingowy zlamal mi ostatnio 15to znakowe haslo... jeszcze nie mialem takiego MD5 co by sie nie polamal...
    I mam dziwne wrazenie ze takiego hasla w tablicy nie mieli...

    @gsg jportal? :P
    Ostatnio edytowane przez gogulas : 11-26-2007 - 18:59
    http://gogulas.yoyo.pl/h.gif

  9. #9
    Avatar GSG-9
    GSG-9 jest offline Shapeshifter
    Zarejestrowany
    Jul 2007
    Skąd
    C:\Perl\bin
    Postów
    1,578

    Domyślnie

    nie, md-pro
    ale blisko

  10. #10
    Avatar eMCe
    eMCe jest offline Emil Grzegorz Gubała
    Zarejestrowany
    Dec 2006
    Skąd
    Kielce
    Postów
    1,767

    Domyślnie

    dokładnie - tanaka - poczytaj o różowych tablicach i łamaniu MD5 - dość dużo o tym było - jeśli aplikacja posiada na tyle poważny błąd że można wyciągnąć sobie hasełka to wątpię żeby admin miał jakieś mocne hasło - bynajmniej w 90% przypadków sie to sprawdzi....

    ale dyskusja zmienia sens... pytanie było inne!!
    wiec tak jak napisał TQM - niestety podlegasz pod paragraf - prawo po prostu takie jest i w sumie dobrze inaczej było by jeszcze gorzej bo złapał byś kogoś na gorącym uczynku a ten niby dla twojego dobra to robił - albo ktoś sobie wykradł dane i powiedział adminowi ze ma błąd i jest czysty....
    tak wiec prawa sie nie zmieni - zmienić powinni sie administratorzy - na takich którzy umieją się przyznać do błędu a najlepiej jeszcze jakiegoś browarka postawić temu co mu lukę odkrył i poinformował o niej...
    Ostatnio edytowane przez eMCe : 11-27-2007 - 23:58
    Agencja reklamy kielce (mały kilkudniowy case pozycjonerski )

Podobne wątki

  1. Excel -> SQL
    By TQM in forum Perl/Python/TCL/Prolog
    Odpowiedzi: 8
    Autor: 04-18-2011, 15:25
  2. sql inj
    By gogulas in forum Hacking
    Odpowiedzi: 30
    Autor: 10-28-2007, 15:33
  3. SQL injection, grrr!
    By 31337 in forum Hacking
    Odpowiedzi: 2
    Autor: 06-16-2007, 08:47
  4. sql injection
    By ble34 in forum Security
    Odpowiedzi: 7
    Autor: 06-13-2007, 15:45
  5. zastrzyki sql
    By ble34 in forum Newbie - dla początkujących!
    Odpowiedzi: 20
    Autor: 11-04-2006, 22:14

Zasady Postowania

  • Nie możesz zakładać nowych tematów
  • Nie możesz pisać wiadomości
  • Nie możesz dodawać załączników
  • Nie możesz edytować swoich postów
  •  
Subskrybuj