Új hozzászólás Aktív témák
-
#14595328
törölt tag
Az, hogy a felhasználók milyen jelszavakat adnak meg, az az ő dolguk. Erősen rá vannak vezetve a jónak mondható formátumra (min 8 karakter, kis- és nagybetű, szám, spec karakter, tiltott jelszavak és egy jelszót nem lehet újra megadni). Persze ez sem 100%.
Adatbázisból meg nem fogják egykönnyen visszapörgetni, erős a hash és előbb ki kell annak kerülnie.Nem kémkedek kiskorúak után, de ha apám elfelejti az FTP jelszavát és nem TC-ben használná, akkor valahogy vissza kellene neki szerezni.
-
gabor7th
addikt
válasz
#14595328
#29
üzenetére
Lebuktál beakartál ettetni egy ilyen gyerekjáték-feltörni jelszóval! Vagy talán aggódni kéne a felhős ügyfeleid adataiért? Ugye hogy nem!! Természetesen én három különböző kontinensen levő kisláiny kódját keverem meg és rakom össze az a tuti! / Ez meg mi? Kiskorúak után kémkedsz? Az nem indok, hogy te csináltad őket!!!
-
joghurt
addikt
válasz
#14595328
#19
üzenetére
Mondjuk ez épp nem annyira, mivel a legtöbb jelszótörőnél van opció a |33tsp3@k-emulációhoz a szótár mellé. Tehát a p@$$w0rd ugyanolyan könnyen törhető, mint a password.
A valamivel biztonságosabb helyeken (nem kell NSA-ra gondolni, a T-nél is így megy itthon) azonosító smartcard is kell a belépéshez, ami valamivel jobb, mint a fénymásolattal átverhető ujjlenyomat.
-
#14595328
törölt tag
-
#14595328
törölt tag
Hat jelszó a változtassmeg (changeme), három azonos a felhasználónévvel, kettő a jelszó (password), egy pedig az instagram karaktereket tartalmazta.
Azért mondjuk ez sem gyenge. Ilyen jelszavaknál lényegében tök mindegy, milyen hash-t használnak, még brute force vagy rainbow table sem kell.
-
zdanee
őstag
Egymillió dollár gombócban is sok. Nem kellett volna így kiírni, ha nem vállalják be. Még a végén valaki máshol váltja be az egymillió dollárját, ugyanis ennyit egészen biztosan megér egy harmadik félnek egy korlátlan hozzáférés. Ha pedig a hibát nem érzik elég nagynak, akkor jobban kéne specifikálni mi ér egy millát, bár nem tudom, hogy akármilyen pici hiba, ha végül root hozzáférést ad a kihasználójának lehet-e durvább. Ezen a szinten olyan mindegy, hogy egy pontosvessző miatt jutott be valaki, vagy hat sor kód miatt, ha bent van, akkor ennyi.
-
-
gabor7th
addikt
Aranyos megfogalmazás: "A bcrypt titkosítással ellátott jelszavakat feltörni nem tűnt egyszerűnek, azonban néhány percen belül pedig már 12 hozzáféréssel rendelkezett."
Amúgy a Facebook miért nem használ normálisan erős jelszavakat? Talán direkt? Volt már pár érdekes hiba ami valahogy segítette az adatok harmadik félhez kerülését. -
gabor7th
addikt
Majd az igazi hackereket is meg kell fenyíteni, hogy játszanak a Facebook szabályai szerint. / A legnagyobb biztonsági kockázat a Facebookkal kapcsolatban az, hogy a tulajdonosa, anno amikor még kicsi volt a Facebook retardáltaknak nevezte azokat akik megbíznak benne miközben eladta az adataikat. És ugye van az a mondás, hogy aki kicsiben nem megbízható az nagyban sem az. / Lehet mindig kifogásokkal jönni, de a igazi lényeg az: bejutott.
-
Cifu
félisten
Én úgy látom, hogy talált egy "ajtót", amin keresztül be tudott hatolni, és rámutatott még egy hibára a rendszerben, amit ki lehet használni az 'ajtón' átlépve.
Igazából mindkét fél nézetét meg lehet érteni, de ezzel együtt is csúnya volt a Facebook eljárása a telefonos fenyegetéssel.
A srác meg lehet ismét kapott egy lökést a sötét oldal fele, mert ez a hiba és az, amit mögötte talált olyan, amiért a fekete piacon 2500 dollárnál többet kaphatott volna.
-
-szp-
aktív tag
Jogos amit írsz, a fickó problémája szerintem az, hogy kódvisszafejtés révén hozzájutott a konfigfájlhoz, amiben megtalálta az 1. kulcsot, amivel hozzáfért az autoscale tárolóhoz. Ebben volt a 2. kulcs, amivel hozzáfért a többihez is, gyakorlatilag mindenhez.
Nem tudom, hogy meg lehetett volna oldani másként a tárolást vagy sem, extra titkosítással vagy bármilyen egyéb módszerrel, de úgy tűnik senki sem számított rá, hogy bejutnak a rendszerbe. -
Cathfaern
nagyúr
Nem teljesen értem a problémát. Ő egyedül az admin felületet törte fel., azt ki is fizették neki. Minden más amit azon túl csinált, az nem további biztonsági rés megtalálása volt, hanem egyszerűen az első (kifizetett) biztonsági rést használta ki adatok megszerzésére. A túl egyszerű jelszavak bár biztonsági rést jelentenek, de nem technikai biztonsági rés, amire az alapkiírás vonatkozik. A AWS kulcspár pedig felteszem szükséges volt az app működéséhez, ezért volt benne a konfig fájlokban, szóval ez ugyancsak nem biztonsági rés.
Tehát amit talált azt kifizették, majd ezután ő nyilvánosságra hozta az egészet (ami a szabályzat szerint tiltott), és meglepődik hogy erre jelzik neki hogy nem a szabályok szerint játszott. Ezen miért lepődik meg?
Új hozzászólás Aktív témák
- Mobil flották
- Telekom otthoni szolgáltatások (TV, internet, telefon)
- Monitortrió a Samsungtól, köztük egy 500 Hz-es QD-OLED-del
- PlayStation 5
- Háztartási gépek
- Suzuki topik
- Projektor topic
- A fociról könnyedén, egy baráti társaságban
- AMD Navi Radeon™ RX 9xxx sorozat
- Medence topik
- További aktív témák...
- Oculus Quest 2 VR szett, 128 GB hibátlan állapot, garanciás
- Dell Latitude 5320 -60% "Kis Gamer" Üzleti Profi Ultrabook 13,3" i5-1145G7 16/512 FHD IRIS Xe
- Dobozos DELL Inspiron 16 Fémházas Multimédiás Laptop 16" -40% Ryzen 7 8840U 8mag 16/1TB FHD+ IPS
- Csőtörés bemérés - Csőtörés Javítás Szakszerűen
- Professzionális vízszerelés 0-24 akár azonnali kiszállással
- Eladó Lenovo ThinkCentre M910q i7 16GB / 12 hó jótállás
- ÁRGARANCIA!Épített KomPhone i7 14700KF 32/64GB RAM RTX 5090 32GB GAMER PC termékbeszámítással
- Gamer PC-Számítógép! Csere-Beszámítás! I5 12400F / RTX 3070 8GB / 32GB DDR4 / 1TB SSD
- MacBook Pro 16" M3 Pro 36GB 512GB Gar. SPACE BLACK
- Bomba ár! Dell Latitude 5510 - i5-10G I 8GB I 256SSD I HDMI I 15,6" FHD I Cam I W11 I Gari!
Állásajánlatok
Cég: FOTC
Város: Budapest