Злом «посолених» хешів

Злом «посолених» хешів

Безпека веб-додатків: Що можна, а що не можна робити при шифруванні з використанням солі.

Безпека веб-додатків: Що можна, а що не можна робити при шифруванні з використанням солі

Отже, на сервері:

На сервері програма не зможе перевірити значення пароля через використання солі і випадкового ID сесії. І оскільки MD5 є нереверсивний хеш-функцією, пароль не зможе бути перевірений до тих пір, поки паролі зберігаються у вигляді тексту в базі даних.

Як солі для шифрування пароля перед відправкою використовується випадково згенерований ID сесії. Це означає, що серверні бази даних не будуть зашифровані.

Іноді такого роду програми видають багато інформації.

Пункт №1: Завжди шифруйте вашу базу даних паролів.

  1. Алгоритм, який використовується для хешування, повинен мати якісь вади. Хеші повинні бути реверсивними
  2. Використання брут-форс атаки для перебору хешів за допомогою словника або райдужних таблиць.
  3. Або у вас просто UPDATE привілеї. Тоді просто замініть значення хешів паролів на відомі вам.

Для того, щоб використовувати всі ці види атак, ви повинні знати, за допомогою якого алгоритму був порахований хеш.
Що можна зробити, щоб з'ясувати використовуваний алгоритм хешування.
Відповідь: Все алгоритми генерують хеш фіксованої довжини. Тому на підставі вихідного значення ви можете прикинути, який алгоритм використовувався # 9786 ;. "Все це - досить відомі факти", але як і раніше я розміщую їх тут.
Для цього я розміщу невелику таблицю для виявлення хеш-функцій на основі їх вихідного значення