| |
|
|
| | Здравствуйте, такой вопрос, я не хакер и некогда не занимался подбором пароля,но хочу обезопасить свой сайт от этого, трудно ли будет подобрать такой пароль или ключ называйте как хотите HpVk57nuA7VAjkyakQEh. вообщем 20 - значный пароль там присутствуют латинские буквы большие/маленькие и цифры 0-9. разумееться все это выпадает в случайном порядке!
трудно ли будет его подобрать? | |
| |
|
|
| |
|
|
| |
для: Dazzl
(21.03.2012 в 13:08)
| | | трудно, но тупой брутфорс - это последнее дело, как в прямом так и в переносном смысле этого слова
обычно не ломятся в "закрытую стальную дверь", а входят через "забытое открытое окно" | |
| |
|
|
| |
|
|
| |
для: Valick
(21.03.2012 в 13:21)
| | | ? я не очень понял, так ломяться или нет? )
что такое брут форс? | |
| |
|
|
| |
|
|
| |
для: Dazzl
(21.03.2012 в 13:36)
| | | что такое брут форс?
у вас там что, гугл еще не придумали? :))
брутфорс
я уж точно лучше не расскажу чем википедия :) | |
| |
|
|
| |
|
|
| |
для: Dazzl
(21.03.2012 в 13:08)
| | | Да, довольно трудно, если добавить еще и задержку после нескольких неправильно введенных паролей, то подобрать его будет практически невозможно (только красть). | |
| |
|
|
| |
|
|
| |
для: cheops
(21.03.2012 в 13:44)
| | | (только красть)
как этот красть? Как это красть люди, разве это не равносильно подборке? ( | |
| |
|
|
| |
|
|
| |
для: Dazzl
(21.03.2012 в 13:47)
| | | нет, украсть и подобрать это абсолютно разные вещи
допустим у вас на бумажке записан пароль а я его взял и украл
ну или потратил несколько лет на подбор вашего пароля, если не смог стырить бумажку
но если у вас "открыто окно" (дыра на сайте), то я и так залезу к вам в "хату" и нафиг мне подбор вместе с вашей бумажкой | |
| |
|
|
| |
|
|
| |
для: Valick
(21.03.2012 в 14:20)
| | | С дырами на сайте я спокоен у меня там все до безобразия просто "дом без окон и дверей", простая регистрация с простыми запросами, никакого размещения ссылок и т.д. , а вот по поводу кражи я немного взволнован!
вообщем у меня так:
после регистрации в базу записываться "логен" "имя" "пароль" и без ведома пользователя создается указанный мною ключ в случайном порядке. И после этого любой контакт с сайтом проводиться только после сверения этих 4-параметров, я понимаю что он если сильно захочет то может узнать свой ключ, но украсть чужой!? объясните пожалуйста как? | |
| |
|
|
| |
|
|
| |
для: Dazzl
(21.03.2012 в 14:32)
| | | От SQL-инъекции при входе защита есть (если она есть, то проверяли ли её)? Иногда можно пройти без пароля... а если можно сменить e-mail, куда отправляется пароль восстановления, то вообще праздник для вора :))) Кроме того, при помощи любой SQL-инъекции на сайте можно все пароли из базы стянуть... это займет некоторое время, но выудить названия таблиц, их структуру можно будет однозначно, было бы время. | |
| |
|
|
| |
|
|
| |
для: cheops
(21.03.2012 в 14:34)
| | | От SQL-инъекции при входе защита есть
Как это? если можно коротко объесните
Иногда можно пройти без пароля
Как так?
выудить названия таблиц, их структуру можно будет однозначно
Это совсем плохо((((((( | |
| |
|
|
| |
|
|
| |
для: Dazzl
(21.03.2012 в 14:38)
| | | Вообщем вся моя защита это запросы принимаются через htmlspecialchars и в базу вводятся через mysql_real_escape_string это я так понял явно мало (( | |
| |
|
|
| |
|
|
| |
для: Dazzl
(21.03.2012 в 14:44)
| | | запросы принимаются через htmlspecialchars
htmlspecialchars - защищает совсем от другого и используется при выводе в браузер данных переданных от пользователя | |
| |
|
|
| |
|
|
| |
для: Dazzl
(21.03.2012 в 14:44)
| | | Этого достаточно, если вы правильно применяете mysql_real_escape_string, и если к числовым параметрам применяете intval() или как-то другим способом обеспечиваете гарантию того, что перед вами число. Самый лучший способ, просто научиться составлять SQL-инъекции самому, тогда вы будете уверены в том, что делаете, а не верить в приемы, которые вам предлагают другие люди. Ничего страшного и магического нет, нужно просто спокойно с этой проблемой разобраться и знать, на что способен злоумышленник, а на что нет - у него в руках те же самые инструменты, что и у вас, только вы строите, а он ломает. Чтобы понять логику его действий, да нужно и самому чуть-чуть поломать (разумеется свой код, а вот если вы хотите создать инструмент взлома, тут своим кодам не обойтись - нужно будет ломать других, чтобы понять, как это делать удобнее, но это уж специализация не нашего форума, в этом помогать не будем :). | |
| |
|
|
| |
|
|
| |
для: cheops
(21.03.2012 в 14:51)
| | | а это принципиально различать что в запросе точно число или буква?, я так понял функция intval пропускает тока числа? просто я все свои данные храню в serialize их доставать и ими пользоваться легче. | |
| |
|
|
| |
|
|
| |
для: Dazzl
(21.03.2012 в 15:07)
| | | Да, принципиально, типы построения инъекций разные.
>просто я все свои данные храню в serialize их доставать и ими пользоваться легче.
Это как раз не важно, значение приобретают те части запроса, которые формируются динамически из GET-параметров. Как правило, они задействуются в WHERE-условии.
PS Попробуйте сами воспроизвести инъекцию, в теме указанной выше. Когда своими руками делаете - это лучше усваивается. Там ничего сложного нет, особенно, когда у вас схема базы данных перед глазами. | |
| |
|
|
| |
|
|
| |
для: Dazzl
(21.03.2012 в 14:38)
| | | Вообще мы в свое время целый задачник написали на тему защиты в Web: "Головоломки на PHP для хакера". Если кратко, то вместо логина можно ввести фрагмент SQL-запроса таким образом, что его логика изменится в нужную сторону злоумышленнику и сайт пропустит вас без всякого пароля. Если вы этого не учитываете, если не экранируете строки, если не приводите числовые параметры к целому - считайте, что вся ваша база полностью подконтрольна злоумышленнику. Причем они как бандиты не сидят сложа руки до тех пор, пока им вас закажут. Они тренируются постоянно, чтобы не терять квалификации, вас могут взломать в рамках такого тренировочного рейда.
PS Если интересно, заведите на форуме MySQL новую тему, можно разобрать как работает SQL-инъекция, лучше всего самому своими руками её составить - когда увидите её в действии, на код будет смотреть совсем другими глазами. | |
| |
|
|
| |
|
|
| |
для: Dazzl
(21.03.2012 в 13:47)
| | | Нет... не равносильно. Одно дело стену в банке выломать, а другое дело залезть в банк, подловить инкасаторов с открытым бронемобилем, залезть в сеть банка наконец, аферу провернуть. Подбор пароля - это выламывание стены. Если это гипсокартон, то не такая уж и непосильная задача, даже с небольшим транспортом или группой людей. Кирпич хуже, железобетон еще хуже, если это какой-нибудь форт XVII-века с метровыми стенами, то возиться можно очень долго.
PS Способов кражи паролей довольно много, не все могут быть применены и не всегда очевидно, что сложилась ситуация именно для такого способа кражи - это искусство вора и того, кто защищается от воровства (защищаться раза в 4 труднее, чем нападать - причем защищать как информацию (от вора), так и себя (вору от преследователей)). | |
| |
|
|
| |
|
|
| |
для: cheops
(21.03.2012 в 14:23)
| | | И самый надежный - горячий утуг на пузо. ) | |
| |
|
|
| |
|
|
| |
для: task
(21.03.2012 в 14:24)
| | | Ага :), причем не нужно забывать, что банк с удовольствием сделает тоже самое, если поймает... Я вот сколько случаев знаю, злоумышленники редко себя хорошо защищают (сложно это, много сложнее, чем напасть). А когда квалификация уже вроде позволяет хорошо защититься, предлагают такие деньги за работу, что по карманам шарить уже экономически не выгодно... | |
| |
|
|
