Żyla, żyletka, śmierć.Aniele usłysz moje myśli,które uciszyleś ...
Witajcie,
Poniżej przedstawię wam błędy jakie znajdują się w serwisach www ( nie tylko w tych które testowałem)
1. Rejestracja użytkownika
Na samym początku omijane są bardzo ważne elementy, które mogą spowodować utratę loginów, dostępu do strony/forum itp.
Ilość znaków w haśle:
Spotkałem się z takimi stronami gdzie można było założyć konto ustawiając hasło 1 literowe. Złamanie takiego hasła jest bardzo proste. W sieci dostępny jest program za pomocą którego możemy łamać hasła ( około 0.5 miliona kombinacji na 1 sekunde wykonuje). Jak wiemy, czym dłuższe hasło tym trudniej je złamać. Dlatego, też administratorzy stron powinni ( duża część już tak robi ) ustawiać minimalną ilość znaków.
2. Zawartość strony ( źródło strony)
Często jest tak, że administratorzy stron nie zabezpieczają zawartości strony co czyni ją atrakcyjną dla potencjalnego "włamywacza".
O tuż jak wejdziemy np w przeglądarkę mozilla F. po czym na stronie X wybierzemy opcję "Źródło strony" to zobaczymy cały kod strony.
Jeżeli używamy wyszukiwarki na stronie to musimy pamiętać o tym, że może jej skrypt posłużyć do wyciągnięcia pliku config.php -- jeżeli jest on nie zabezpieczony ( ustawienie uprawnień )
Nie domknięcie nawiasu w kodzie php, lub zła wartość lub brak ograniczenia również staję się potencjalnym celem ataku.
To dopiero początek ;) na dniach opiszę wam więcej przykładów oraz przedstawię w jaki sposób profesjonalnie możemy wykonać testy własnego serwisu.
Oznacza to, ze do tego serwera hasla nie nalezy przelamywac; zreszta mam wrazenie, ze tam sa tylko pliki i nie ma logow (choc moge sie mylic).
A to w takim razie jak sie do niego dostac skoro nie nalezy lamac hasla. Proba logowania bez hasla konczy sie napisem "Nie prawidłowy login lub haslo"?
I najważniejsze - koniecznie zmieniajcie nazwę sieci i hasło administratora !!!
Ileż jest sieci WiFi, w których użytkownicy nie zmieniają haseł.
Jeśli użytkownik nie zmieni domyślnego loginu i hasła na routerze to nie ma o czym rozmawiać.
Co do łamania WEP'a. Zwykłemu użytkownikowi nie przyjdzie to nawet do głowy. Nie ma co siać paniki. Do wszystkiego trzeba podchodzić z umiarem-tak jak do budowy domu
Inna sprawa, że jak byłem w Warszawie i przeskanowałem sobie sieci będące w zasięgu, to 3/4 były wcale nie zabezpieczone. Jeśli masz do wyboru sieć z zabezpieczeniami i sieć bez, to którą wybierzesz?
Witam. Mam pytanie czy jest możliwość (lub jakiś program) który umożliwia łamanie hasła metodą Brute Force jeżeli znam tylko login? oczywiście do pulpitu zdalnego (po podłączeniu zdalnego pojawia się okienko Windows'a server 2003 i prosi o login i hasło). Proszę o pomoc. Pozdrawiam :)
Dnia 13-01-2007 o 02:08:48 iceman <bartlomiej_bakNO@SPAMcaputa-design.com> napisał(a):
>> ,,dane z formularza ida przez tablice POST
>> po poprawnym zalogowaniu dane login i haslo wpisywane sa do zmiennych
>> sesyjnych''
>>
>> co można zrozumieć w ten sposób, że w sesji przechowujesz hasło
>> plain textem. Jeżeli tak jest, to jak byś nie kombinował, wyląduje
>> na dysku, który nie jest bezpiecznym miejscem do przechowywania
>> haseł.
>>
> jest to nadinterpretacja, a raczej brak umiejetnosci czytania ze
> zrozumieniem :-) W poscie z 9 stycznia 2007 napisalem:
>
> "login jest plain text'em w zmiennej sesyjnej i bazie danych
> haslo jest szyfrowane sha256 i tak jest przechowywane w zmiennej
> sesyjnej i w mysql"
>
> a z tego nijak nie wynika ze haslo jest plan text'em :-) wykradzenie
> takiego hash'a komus z dysku nie wydaje mi sie proste zwlaszcza jezeli
> mozna samemu ustawic obsluge sesji a w cookies user'a trzymac tylko
> phpsessid. w sieci znalazlem tylko artykuly o lamaniu md5 ale sha256 to
> nie md5. do lamania md5 zeby zrobic to szybko wykorzystuja ok 50GB tablice!
Ok, masz rację, nie doczytałem od początku. Twoje podejście jest jak
najbardziej OK.
--
Boguś
www.google.pl <-- to nie boli
http://bogus.ovh.org/
Ostrzeżenie dla Dagget: Złamanie regulaminu (poważne)
Post: pomóżcie
Użytkownik: Dagget
Typ Otrzeżenia: Złamanie regulaminu (poważne)
Otrzymane Punkty Karne: 40
Notka Administracyjna: Cytat:
Zły dział
Wiadomość do Użytkownika: Cytat:
Zły dział
Oryginalna Treść Postu: Cytat:
Ściągnąłem tibie 8.42, IP Changer, uruchamiam tibie i ip changera, zmieniam ip, wpisuje haslo i login, ale nie moge wejsc :/ czemu?
Niewielka szansa ale może administrator nie zmienił hasła do routera, wtedy wejdź w przeglądarkję na tym macu i wpisz jako adres 192.168.1.1 a hasło i login spróbuj admin/admin albo admin/[pusta linijka]. :p
Albo poszukaj programu do łamania WEP na WM, może jakiś jest
1#. Ogólne zasady Serwera.
1.1 Gra na Serwerze Demonicus jest darmowa.
1.2 Nieznajomość regulaminu nie zwalnia do jego łamania.
1.3 Gra AFK jest tylko i wyłącznie Twoim ryzykiem. Jeśli jesteś AFK gracz ma prawo usunąć Cie ze spota.
1.4 PK/KS na spotach jest zakazane.
1.5 PK poza spotami jest dozwolone.
1.6 PK przy goldach jest dozwolone.
1.7 Jeśli ktoś odejdzie/zginie ze/na spocie traci do niego prawo
1.8 Na serwerze jest zakaz przeklinania, obrażania innych graczy lub ich rodziny.
1.9 Podawanie loginu i hasła komukolwiek na własne ryzyko. Adminstracja nie ma obowiązku oddać skradzionych przedmiotów/kont w ten sposób.
2#. Postać, guildia.
2.1 Nazwa postaci nie może zawierać wulgaryzmów.
2.2 Nazwa postaci musi zawierać conajmniej 3 litery.
2.3 Nazwa guild nie może zawierać wulgaryzmów.
2.4 Za porządek w guild odpowiada Guild Master.
2.5 Zasady w guild narzuca Guild Master.
3#. Admini / Game Masterzy.
3.1 Admin/GM ma zawsze racje. Jego decyzje są nieodwołalne.
3.2 Admin/GM nie daje itemów/party.
3.3 Nie obsypujcie Adminów/GMów pytaniami odnośnie gry. Od tego są poradniki w internecie.
3.4 Zabrania się wszelkiego rodzaju kłutni z Administracją.
3.5 Administracja zastrzega sobie prawo do zmiany regulaminu. Gracze zostaną o tym poinformowani.
3.6 Administracja zastrzega sobie prawo do usunięcia konta z Serwera bez podania przyczyny.
4#. Błędy, podejrzane sytuacje.
4.1 Jeśli widzisz kogoś kto złamał regulamin, zrób Print Screena i napisz skargę na Forum Serwera.
4.2 Użycie lub wzięcie podejrzanych przedmiotów może doprowadzić do usunięcia konta z Serwera.
4.3 Używanie cheatów, botów, chacków jest zakazne. Używanie ich może doprowadzić do usunięcia konta z Serwera.
Pobierasz cracki i keygeny? Uważaj na trojany!
Cytat:
Specjaliści z Trend Micro poinformowali, że osoby, które szukają w Internecie aplikacji służących do łamania zabezpieczeń programów lub generowania nielegalnych numerów seryjnych, narażają się na atak konia trojańskiego.
Z ich analiz wynika, że przestępcy zaczęli ostatnio znów aktywnie wykorzystywać ten "kanał dystrybucji" do rozpowszechniania swoich programów.
Chodzi tu przede wszystkim o tzw. cracki oraz keygeny (czyli aplikacje umożliwiające korzystanie z pirackich kopii programów lub nielegalne zarejestrowanie płatnej aplikacji). Z informacji udostępnionych przez Trend Micro dowiadujemy się, że w ostatnich tygodniach w sieciach P2P oraz na stronach z ******** zaczęło pojawiać się coraz więcej różnego rodzaju złośliwego oprogramowania ukrytego w pliku podszywającym się np. pod crack.
Co ważne, często jest tak, że program ów rzeczywiście umożliwia "złamanie" danej aplikacji - z tym, że przy okazji w systemie instalowany jest trojan.
Z ekspertyz przeprowadzonych przez firmę wynika, że oprogramowanie to może posłużyć przestępcom do wykradania z systemu cennych informacji (np. haseł i loginów), a także do przekształcenia zainfekowanej maszyny w tzw. komputer-zombie (czyli element botnetu - sieci zainfekowanych komputerów, wykorzystywanej np. do wysyłania spamu).
. -Szacujemy, że aktualnie na całym świecie ok. 16 proc. wszystkich komputerów jest zainfekowane jakimś złośliwym oprogramowaniem. W wielu przypadkach to użytkownicy samodzielnie zainstalowali je w systemie - podczas próby złamania zabezpieczeń jakiejś aplikacji - komentuje David Sancho, specjalista z Trend Micro.
Informacja ta pochodzi z serwisu online: PC World Komputer