Прошу проверить на уязвимости.
двиг самописный http://hash.ixces.ru/

Только прошу без вандализма)

Зарание благодарю.

p.s. так же выслушаю все предложения и критику в том числе...

слишком уж оформление похоже на hashcracking.info по оформлению...

слишком уж оформление похоже на hashcracking.info по оформлению...тафтафтология

тайтлы смотри еще один Antichat md5 service=)

Раскрытие путей
Warning: preg_match() expects parameter 2 to be string, array given in /home/www/[del]/configs.php on line 95

<input name="searchhash[]" size="35" class="txt" style="float: right" value="asd" ondblclick="bdlhash()"></td>

_______

hashcracking.info рулит, остальное фтопку

Раскрытие путей
Warning: preg_match() expects parameter 2 to be string, array given in /home/www/z94550/hash/configs.php on line 95

<input name="searchhash[]" size="35" class="txt" style="float: right" value="asd" ondblclick="bdlhash()"></td>

_______

hashcracking.info рулит, остальное фтопку


профиксено.

p.s. да hashcracking.info рулит мне и самому он нравится
но этот сервис у меня стоит около полугода сейчас решил сменить дизайн, двиг переписал и базу восстановил после сбоя... с hashcracking планирую сотрудничать...

1)На будущее- поправить грамматические, синтаксические и стилистические ошибки.
(штук 5 увидела сходу- помочЬ, колЛичество, кол-во и тд)

2) что означает статистика?
Всего: 1
Из них добавлено: 0
от хэшей в очереди: 0
Пропущено: 1
уже есть в базе: 0
Затрачено времени: 8.797645 с

я про время. уверена, что это ненастоящее число, и что оно отражает, если добавляется мусор?
--
поняла. достаточно добавлять символьную строку максимальной длины для поля, чтобы обработка длилась 8 сек.
последствия сервис будет легко завалить

2) на добавление стоит фильтр вроде бы. но..
смотрим
Всего: 5
Из них добавлено: 1
от хэшей в очереди: 0
Пропущено: 4
уже есть в базе: 0
Затрачено времени: 0.001157 с
Спасибо!

Добавлялось вот что:
dgdfg
ввапв
вапвап
вапв
ап

Всего: 2
Из них добавлено: 1
от хэшей в очереди: 0
Пропущено: 1
уже есть в базе: 0
Затрачено времени: 0.013976 с
Спасибо!

добавлялось вот что
''''''''

Пароль добавлен в базу. Спасибо.
Пароль ' '
Длинна: 23 символов
HEX: 2020202020202020202020202020202020202020202020
Md5(): dda4cb474f8b4490d483c6e4cd164ce2

Неправильная обработка единственного пробела

Всего: 2
Из них добавлено: 1
от хэшей в очереди: 0
Пропущено: 1
уже есть в базе: 0
Затрачено времени: 0.013976 с
Спасибо!

добавлялось вот что
''''''''
не понял в чем тут дело, вроде все норм
фильтр стоит по длинне и на печатаемость символов пароль с непечатаемыми символами не добавит. По длинне пароль должен быть не меньше 6 и не больше 32 символов, иначе пароль добавит...))))

Пароль добавлен в базу. Спасибо.
Пароль ' '
Длинна: 23 символов
HEX: 2020202020202020202020202020202020202020202020
Md5(): dda4cb474f8b4490d483c6e4cd164ce2

Неправильная обработка единственного пробела
Профиксено Спасибо!
для проверки тот же самый хеш dda4cb474f8b4490d483c6e4cd164ce2


2) что означает статистика?
Всего: 1
Из них добавлено: 0
от хэшей в очереди: 0
Пропущено: 1
уже есть в базе: 0
Затрачено времени: 8.797645 с

я про время. уверена, что это ненастоящее число, и что оно отражает, если добавляется мусор?
--
поняла. достаточно добавлять символьную строку максимальной длины для поля, чтобы обработка длилась 8 сек.
последствия сервис будет легко завалить

статистика:
Всего (это сколько всего паролей проверялось скриптом)
Из них добавлено (сколько паролей из проверяемых добавлено, исключая те которые от хэшей в очереди) : 0
от хэшей в очереди (сколько паролей от хешей в очереди, соответственно сколько хешей удалено из очереди..): 0
Пропущено (пароль не подходит по фильтру): 1
уже есть в базе (ну ето думаю понятно пароль есть в базе ): 0
Затрачено времени: 8.797645 с (время это сколько понадобилось чтобы обработать (в обработать входит все проверка и если правильно то добавление) все пароли, делал так:

$tmtime = microtime();
$tmtime = explode(" ",$tmtime);
$tmtime = $tmtime[1] + $tmtime[0];
$ttstart = $tmtime;
for ($i=0;$i<$count;$i++)
{
//цикл добавления паролей
}
$tmtime = microtime();
$tmtime = explode(" ",$tmtime);
$tmtime = $tmtime[1] + $tmtime[0];
$ttend = $tmtime;
$ttpassed = ($ttend - $ttstart);

//а в таком формате выводим вычисленное время
substr($ttpassed,0,8)




1)На будущее- поправить грамматические, синтаксические и стилистические ошибки.
(штук 5 увидела сходу- помочЬ, колЛичество, кол-во и тд)
Вроде все исправил ;)
только на счет стилистических ошибок не понял? что именно?

Пароль добавлен в базу. Спасибо.
Пароль ' '
Длинна: 23 символов
HEX: 2020202020202020202020202020202020202020202020
Md5(): dda4cb474f8b4490d483c6e4cd164ce2

Неправильная обработка единственного пробела

только что на hashcracking.info проверил этот хеш, у лебедя тоже неправильно обрабатывает, но я у себя исправил к счастью)

в понедельник лебедю передам чтоб он тоже исправил....)
dda4cb474f8b4490d483c6e4cd164ce2

на http://md5.xek.cc/ еще хуже там его хоть добавляй хоть не добавляй всеравно не находит... dda4cb474f8b4490d483c6e4cd164ce2



P.S. у меня не неправильная обработка пробела была! это был неправильный вывод нескольких идущих вподряд пробелов! видела HEX значения там усе норм посмотри html код страници там тоже все пробелы есть! Дело в том, что браузер игнорирует 2 и более пробелов идущих вподряд. но это поравимо! и теперь hash.ixces.ru (http://hash.ixces.ru/) выводит два и более идущих вподряд пробелов КОРРЕКТНО!

А что не правильно-то с этим хешем dda4cb474f8b4490d483c6e4cd164ce2 ?
Пароль к нему 23 пробела, это видно по HEX: 2020202020202020202020202020202020202020202020


Только написал уже и ответ выше появился :):):)

2Red_Red1

сам посмотри:


dda4cb474f8b4490d483c6e4cd164ce2

Пароль найден на passcracking.ru
и добавлен в нашу базу

Тип хэша определён: MD5

Вычисленные хэши для пароля ' ' (hex: 2020202020202020202020202020202020202020202020)


видишь он между кавычек один пробел выводит....


HEX значения всегда будут правильными а вот как скопировать пароль если там вместо 23 пробелов выводится один


щас проверь на hashcracking.info и на hash.ixces.ru этот хеш dda4cb474f8b4490d483c6e4cd164ce2 или другй состоящий из двух и более идущих вподряд пробелов...

Да это все верно про копирование...
Опасней случай вот такой вот 1___2_____3____4. (вместо _ пробелы)Кстати попробуй добавить этот пароль в базу, видишь как там выводит после добавления.
Пример

Пароль добавлен в базу. Спасибо.

Пароль '1 2 6'
Длинна: 12 символов
HEX: 312020202032202020202036
Md5(): d2925cd10d3326edb3645b17f5bffc53

Но на хешкреке МОЖНО скопировать, найденный пароль выводит в поле пароля ;)

да нет вроде усе норм

вот http://hash.ixces.ru/?searchhash=f2ec75e3a2e20d8cdc7bd82383832a1b
или вот http://hash.ixces.ru/?searchhash=f2e368670e631c20a02fc0696c8657ef

а вот ето: http://hash.ixces.ru/?searchhash=d2925cd10d3326edb3645b17f5bffc53
все правильно пароль от этого хеша и есть 1 2 6
hex:312020202032202020202036
или ты имеешь ввиду добавляешь его в виде 1___2____6 а он добавляется пробелами

-----------------------------------------------------------------
p.s. а на счет пробелов да забыл что пароль у вас еще и в поле выводится.... но всеравно думаю не будет плохо если и м/у кавычек нормальные пробелы будут)

p.p.s. вчера еще кто то сервис сканировал со скоростью около 22-23 запросов в секунду вот и статистика по процу:


Статистика использования процессорного времени
2008-08-23
время нагрузка
09:00 0.81%
10:00 0.55%
11:00 0.99%
12:00 1.27%
13:00 0.14%
15:00 0.97%
16:00 0.51%
17:00 2.94%
19:00 2.94%
20:00 8.17%
21:00 0.94%
22:00 0.36%
23:00 1.12%

Avg. 0.90%

Профиксен баг:

Невозможно было добавить пароль в котором находились следующие буквы: v,V

Вроде все исправил ;)
только на счет стилистических ошибок не понял? что именно?
))) эээмм

Вы всегда можете помочь проекту расшифровав хеши из нашей очереди,
после чего добавить здесь или выложить на форуме Античат
не уверена, что Античат стоит писать именно так...

причастный оборот- нет запятой. В составном предложении потеряна ссылка на объект, предложение не завершено точкой.
Я конечно, не компилятор русс. языка, но небрежность в тестах вызывает неуважение ко всему проекту в целом (у меня)=)

Правильнее так:

Вы всегда можете помочь проекту, расшифровав хеши из нашей очереди,
после чего добавить их сюда или выложить на форуме Античат.

Сервис работает в тестовом режиме, проверка на возможные уязвимости и неполадки...
Это что? где сказуемое? :D

Сервис работает в тестовом режиме, осуществляется/производится/выполняется проверка на возможные уязвимости и неполадки...
На колличество добавляемых паролей стоит ограничение,
максимально возможное кол-во паролей для добавляения за один раз 100 штук.
коЛичество- пишется с одним "л".
"кол-во" - это для своего блокнотика, а не официальной страницы сайта (вы же пишете "спасибо", а не "сеньк-с").
"за один раз" - корявое просторечие...
штук- звучит товарно....

Былобы не плохо сделать регистрация,как на хашкракинге и статистику по добавленым хешам.
PsюЯ ужо один добавил

А вот тут двтжок тупит.Взял с очереди хеши.Расшифровал 1 штук.Пароль такой: cdeol
Пишет незя добавить.Решай.На ачате сделали так.Еси пароль с очереди,то хоть одназначный но добавиться.А еси нет то не добавиться.

А вот тут двтжок тупит.Взял с очереди хеши.Расшифровал 1 штук.Пароль такой: cdeol
Пишет незя добавить.Решай.На ачате сделали так.Еси пароль с очереди,то хоть одназначный но добавиться.А еси нет то не добавиться.

да по поводу етого я знаю там ограничение на добавляемые пароли стоит нельзя добавить пароли длинна которых меньше 6 или больше 32.



2 ikolla$$ по поводу регистрации я работаю но хочу сделать не так как на хэшкрэкинге)


2 lisa99 как всегда огромное спасибо))))

HEX значения всегда будут правильными а вот как скопировать пароль если там вместо 23 пробелов выводится один
str_replace(' ', '&nbsp;', $password);

да GreenBear я сделал именно так 24 августа)))) тока видать забыл написать как сделал)))) но всеравно спасибо)))

P.S. точно я написал что профиксено а как профиксено не написал....(((

P.P.S. с 20 сентября сервис будет временно закрыт ... Причина: поиск хостера. старый хостер оказался нетрудоспособным)

1) после долгого простоя сервис снова работает финансовая проблемма решена )

2) было обнаружено что вместо 32 значного хэша можно было ввести любой текст который в потом либо просто обрезался до 32 либо дополнялся нолями до 32 знаков

Думаю это ненужно http://hash.ixces.ru/test.php