sql

[GSG-9]

znalazlem strone podatna na atak sql injection
wyciagnalem login i haslo zakodowane md5
po rozkodowaniu zalogowalem sie na admina
chodzilem po stronce na koncie admina
powiadomilem admina ze ma dziure w stronie


moze mi cos zrobic czy potraktuje to normalnie za to ze znalazlem luke na jego stronie?

[TQM]

zalezy od admina... ja bym podziekowal za info, zmienil haslo i zalatal software... ale oficjalnie przelamales zabezpieczenia wiec podpadasz pod paragraf :-/

[tanaka]

znalazlem strone podatna na atak sql injection
wyciagnalem login i haslo zakodowane md5
po rozkodowaniu zalogowalem sie na admina
chodzilem po stronce na koncie admina
powiadomilem admina ze ma dziure w stronie


moze mi cos zrobic czy potraktuje to normalnie za to ze znalazlem luke na jego stronie?

pewnie moglby cos zrobic gdybys pisal prawde...
MD5 to funkcja skrótu ,i nie jest odwracalna...żal... chyba ze brut forcem zlamales ale nie uwierzylbym w to

[markossx]

to, że jest funkcja MD5 nieodwracalna to nie znaczy, że nie ma szans na jej złamanie - poczytaj na przykład o wywoływaniu kolizji MD5.
poza tym jak masz pokaźną bazę hash'y MD5 a admin użył wyrazu słownikowego też jest szansa, że trafisz na właściwy hash...

[tanaka]

to, że jest funkcja MD5 nieodwracalna to nie znaczy, że nie ma szans na jej złamanie - poczytaj na przykład o wywoływaniu kolizji MD5.
poza tym jak masz pokaźną bazę hash'y MD5 a admin użył wyrazu słownikowego też jest szansa, że trafisz na właściwy hash...

szansa jak dla mnie bliska 0 , zauwaz ze twoim jedynym zalozeniem jest w tej chwili to ze admin uzyl hasla slownikowego, w innym przypadku nie ma szans.
Nie chce mi sie wierzyc zeby admin uzyl hasla :dom,pies czy home , dog , ...

[GSG-9]

ROTFL


zal napisales do siebie chyba

md5 ktore uzyskalem mialo pecha znalezc sie na
http://passcracking.com/ czyli w bazie danych roznych md5
wiec co za problem miec haslo z md5 wtedy...

@tanaka
nieumiesz czytac? zadalem pytanie i chce uslyszec odpowiedz a nie wyklad o niebieskich migdalach

[markossx]

to jakiego hasła użył jest w tym wypadku mało istotne.
Ty uważasz że hash'e MD5 są nie do ustalenia - ja Ci mówię, że jest inaczej - wierzyć nie musisz - zbadaj dokładnie temat to się przekonasz.
napisałem:

poza tym jak masz pokaźną bazę hash'y MD5...

bo właśnie miałem na myśli takie bazy hash'y jakiej użył GSG-9 ale nie chciałem nazywać rzeczy od razu po imieniu...

[gogulas]

szansa jak dla mnie bliska 0 , zauwaz ze twoim jedynym zalozeniem jest w tej chwili to ze admin uzyl hasla slownikowego, w innym przypadku nie ma szans.
Nie chce mi sie wierzyc zeby admin uzyl hasla :dom,pies czy home , dog , ...

Musze Cie rozczarowac, pewien rosyjski serwis passcrackingowy zlamal mi ostatnio 15to znakowe haslo... jeszcze nie mialem takiego MD5 co by sie nie polamal...
I mam dziwne wrazenie ze takiego hasla w tablicy nie mieli...

@gsg jportal? :P

[GSG-9]

nie, md-pro
ale blisko

[eMCe]

dokładnie - tanaka - poczytaj o różowych tablicach i łamaniu MD5 - dość dużo o tym było - jeśli aplikacja posiada na tyle poważny błąd że można wyciągnąć sobie hasełka to wątpię żeby admin miał jakieś mocne hasło - bynajmniej w 90% przypadków sie to sprawdzi....

ale dyskusja zmienia sens... pytanie było inne!!
wiec tak jak napisał TQM - niestety podlegasz pod paragraf - prawo po prostu takie jest i w sumie dobrze inaczej było by jeszcze gorzej bo złapał byś kogoś na gorącym uczynku a ten niby dla twojego dobra to robił - albo ktoś sobie wykradł dane i powiedział adminowi ze ma błąd i jest czysty....
tak wiec prawa sie nie zmieni - zmienić powinni sie administratorzy - na takich którzy umieją się przyznać do błędu a najlepiej jeszcze jakiegoś browarka postawić temu co mu lukę odkrył i poinformował o niej...