ANTICHAT — форум по информационной безопасности, OSINT и технологиям
ANTICHAT — русскоязычное сообщество по безопасности, OSINT и программированию.
Форум ранее работал на доменах antichat.ru, antichat.com и antichat.club,
и теперь снова доступен на новом адресе —
forum.antichat.xyz.
Форум восстановлен и продолжает развитие: доступны архивные темы, добавляются новые обсуждения и материалы.
⚠️ Старые аккаунты восстановить невозможно — необходимо зарегистрироваться заново.
23.05.2007, 13:18
|
|
Постоянный
Регистрация: 14.01.2007
Сообщений: 459
Провел на форуме:
1469995
Репутация:
589
|
|
Сообщение от Raz0r
p.s. система его пропускает дальше и генерирует новую сессию с его IP.
А если действительно угнанная сессия?
|
|
|
23.05.2007, 14:07
|
|
Участник форума
Регистрация: 07.01.2007
Сообщений: 259
Провел на форуме:
309455
Репутация:
41
|
|
Если угнаная - тогда это фиксируется в логах авторизаций, я же уже написал тебе про это. Конечно - возможности XSS отрицать на 100% нельзя (спереть сессию получится только так), но логи авторизаций позволяют отслеживать несанкционированные авторизации.
P.s. я начинал говорить об авторизации и крипте пароля - система сессий вообще не к разговору.
Последний раз редактировалось Raz0r; 23.05.2007 в 14:12..
|
|
|
|
23.05.2007, 16:29
|
|
Постоянный
Регистрация: 08.04.2007
Сообщений: 853
Провел на форуме:
5812656
Репутация:
1540
|
|
всё это хорошо но без админского пасса хрен узнаешь как шифруеться(замкнутый круг) кстати было бы неплохо написать сложный алгоритм который добавляет к паролю определённую строку причём чтобы эта строка зависила от логина
зы ещё одна тема.шифровать md5 N раз,а N=ord($login[0]);  если злоумышленник будет знать этого то вааще круто будет
зызы чёто меня криптография пропёрла дайте пару ссылок на книги по ней |
|
|
|
23.05.2007, 17:07
|
|
Green member - Level 3
Регистрация: 02.11.2004
Сообщений: 1,337
Провел на форуме:
2398258
Репутация:
648
|
|
Когда ты регистрируешься, то возможно что хэш пароля будет у тебя в куках.
Когда он у тебя в куках (и ты ведь знаешь свой пароль) то можешь на своем пароле и хэше попытаться пробрутить алгоритм (т.е. попытаться пределить как был сгенерен пароль). При условии что не используется соль (или она была взята из словаря).
__________________
+ (это не крестик, это плюсик!)
__________________
•
•
•
|
|
|
|
24.05.2007, 05:43
|
|
Постоянный
Регистрация: 23.04.2006
Сообщений: 622
Провел на форуме:
5887054
Репутация:
1292
|
|
Вопрос топик-стартеру: Ты когда-нибудь открывал программы для брута md5? Или ты прямо из них методы перечисляешь?)))
Ломаеться так:
Первым делом подбираем строку к хешу чтобы она была равна 696d29e0940a4957748fe3fc9efd22a3=5f4dcc3b5aa765d61 d8327deb882cf99
а дальше брутим 5f4dcc3b5aa765d61d8327deb882cf99 как обычный хещ так что не вижу сособой сложности ^^ тем более что MD5 работает сотые доли секунды на 1 пентиумах
Сам придумал?, я бы посмотрел как ты будешь брутить 16 в ТРИДЦАТЬ ВТОРОЙ степени комбинаций , хотя нет, я до окончания не доживу)))
Посчитаем?
Если хороший комп, то примерно 30'000 паролей в секунду
power(16{символов в таблице}, 32{длина пароля})/30000{паролей в секунду}/60{секунд в минуте}/60{минут в часе}/24{часов в день}/360{дней в году} ~ 364700000000000000000000000 лет =)
Можешь начинать брутить md5(md5('a'))
Когда ты регистрируешься, то возможно что хэш пароля будет у тебя в куках.
Кажется пароли так уже никто не хранит... Иначе чем людей сессии не устраивают.
Сессию можно привязывать по желанию пользователя как к IP так и хэше юзер-агента. |
|
|
|
24.05.2007, 06:02
|
|
Постоянный
Регистрация: 06.12.2006
Сообщений: 762
Провел на форуме:
5352530
Репутация:
2062
|
|
Да, поддержу hidden : кг/ам. md5(md5($password)) ерунда и ничего особого и нового в шифровке собой не представляет. Короче учи матчасть
|
|
|
|
24.05.2007, 17:35
|
|
Познавший АНТИЧАТ
Регистрация: 30.04.2007
Сообщений: 1,206
Провел на форуме:
4778940
Репутация:
1257
|
|
если сделать так
PHP код:
md5(sha1(sha1($password+'123') . md5($password)));
то незная алгоритма это хрен кто сбрутит.
а брутится не намного сложнеее |
|
|
|
24.05.2007, 19:38
|
|
Постоянный
Регистрация: 08.04.2007
Сообщений: 853
Провел на форуме:
5812656
Репутация:
1540
|
|
Сообщение от mr.The
а брутится не намного сложнеее я не врубаюсь как так можно его быстро сбрутить!hidden написал примерное кол-во времени
2hidden: комп п4,2Ггц брутит 3млн. паролей/сек. так что ты ошибся
|
|
|
|
24.05.2007, 20:33
|
|
Познавший АНТИЧАТ
Регистрация: 30.04.2007
Сообщений: 1,206
Провел на форуме:
4778940
Репутация:
1257
|
|
я шото невьехал де я ошибся
|
|
|
|
25.05.2007, 00:09
|
|
Постоянный
Регистрация: 23.04.2006
Сообщений: 622
Провел на форуме:
5887054
Репутация:
1292
|
|
Сообщение от scrat
2hidden: комп п4,2Ггц брутит 3млн. паролей/сек. так что ты ошибся
Значит мой комп не такой уж и хороший. 2.7Ghz double core или ты брутишь другой метод у меня md5(md5($pass)+$salt), просто не хотел отчищять лист)))
Сообщение от mr.The
я шото невьехал де я ошибся
Да не ты ошибся
|
|
|
|
|
|
Здесь присутствуют: 1 (пользователей: 0 , гостей: 1)
|
|
|
|
Линейный вид
