Самая надежная в мире соль MD5
910
ДоХтор
17 мар 2018 г., 11:35
Роман, ищи причину в модулях, которые ты сам устанавливал, и закрывай в них уязвимости.
Роман
17 мар 2018 г., 11:53
Добавлено: 17.03.2018 / 11:50
ДоХтор, я это понимаю,но соль возможно не дала бы расшифровать пароль
Добавлено: 17.03.2018 / 11:53
а вот вопрос,я немного чайник,md5 шифровение прописано только в регистрации пользователя? или есть еще в файлах движка 3.2 версии и как сменить шифрование на другое альтернативное?
ДоХтор, я это понимаю,но соль возможно не дала бы расшифровать пароль
Добавлено: 17.03.2018 / 11:53
а вот вопрос,я немного чайник,md5 шифровение прописано только в регистрации пользователя? или есть еще в файлах движка 3.2 версии и как сменить шифрование на другое альтернативное?
johndoe
17 мар 2018 г., 14:12
Добавлено: 17.03.2018 / 14:12
не используй md5
Добавлено: 17.03.2018 / 14:12
http://php.net/password_hash
не используй md5
Добавлено: 17.03.2018 / 14:12
http://php.net/password_hash
kantry
18 мар 2018 г., 6:51
Hey guys! Finally I'm gonna change status!?
Роман, А с чего ты решил что тебе пароли "расшифровывают"? Дохтур тебе верно написал, найди сначала дырку, напр. если злодей может выполнять sql нахрена ему пароли надо?
Роман
19 мар 2018 г., 11:35
kantry, спасибо,буду разбираться
kantry
19 мар 2018 г., 12:08
Hey guys! Finally I'm gonna change status!?
Роман, Если есть доступ к bash, попробуй простой поиск новых(измененных) файлов(на шеллы) find . -type f -mtime -1 # -1 это минус сутки назад, или -mmin -60 60 минут назад
lazyproger
19 мар 2018 г., 12:32
brainhub
# Роман (17.03.2018 / 11:53)При регистрации у юзера используется двойное шифрование md5(md5(пароль)) если мне не изменяет память, то в 3.2.2 соли вообще нет. При успешной авторизации, у юзера в куках или сессии хранится md5(пароль), и при каждом заходе на страницу данные из его кук/сессий обворачиваются в md5() и пара логин и пароль ищется в базе
ДоХтор, я это понимаю,но соль возможно не дала бы расшифровать пароль
а вот вопрос,я немного чайник,md5 шифровение прописано только в регистрации пользователя? или есть еще в файлах движка 3.2 в
ramzes
19 мар 2018 г., 13:28
# AlkatraZ (10.08.2014 / 11:57)кто сказал?
Ну начнем с того, что сама функция бесполезна.
Зачем тебе данная функция, если ты потом сам же не сможешь распознать свой пароль?
Ты скорее всего не разобрался в криптографическом алгоритме шифрован
проверяя пароль ты имеешь на руках пароль который надо проверить (без этого проверка не имеет смысла, нечего сравнивать просто), и хеш этого пароля.
исходя из этого тебе нужен только неизменный алгоритм генерации соли на базе пароля, которым ты изначально генерировал хеш, и которым ты сгенерируешь хеш по новой и сравнишь с имеющимся в бд. Знать сам пароль тебе не требуется, хранить его в чистом или обратимо-шифрованном виде не за чем и не очень разумно, пароли в чистом виде хранят в спец-хранилищах, доступ к которым обеспечивается еще более сильно защищенным способом чем просто сравнение хеша.
Криптография вообще мало касается аутентификации методом сравнения результатов хеширования, это не шифрование же даже, это генерация уникального ключа
Роман
19 мар 2018 г., 15:09
Всем огромное спасибо,соли в 3.2.2 нет,и там двойное md5,я нашел каким образом был взлом анкет,проблемы в самом двиге тут не было
Gabriel
28 мар 2018 г., 21:46
CyberGhostNet Group
See on my jcms modded topic.. i wass make it encode and decode md5
Всего: 20
© 2024, JohnCMS