Új hozzászólás Aktív témák

• #28 MacCaine őstag

  Új Válasz 2017-02-10 17:25:37 #28

  Új hozzászólás

  Összes hozzászólása itt Válaszok az összes hozzászólására itt Válaszok erre a hozzászólásra

  Privát üzenet küldése

  

  MacCaine

  őstag

  Megvan, bár még szopat. Igazi troll csinálta ezt a ctf-et...

• #27 Zedz addikt

  Új Válasz 2017-01-11 10:51:09 #27

  Új hozzászólás

  Összes hozzászólása itt Válaszok az összes hozzászólására itt Válaszok erre a hozzászólásra

  Privát üzenet küldése

  

  Zedz

  addikt

  Köszi a válaszokat, akkor ezentúl többet fogom böngészni.

• #26 PumpkinSeed addikt DNReNTi #23

  Új Válasz 2017-01-11 10:40:13 #26

  Új hozzászólás

  Összes hozzászólása itt Válaszok az összes hozzászólására itt Válaszok erre a hozzászólásra

  Privát üzenet küldése

  

  PumpkinSeed

  addikt

  válasz DNReNTi #23 üzenetére

  Néztem én is, de most bevásároltam magamnak egy elkövetkező leárazásig.

  (#24) Zedz

  Én a Reactról és a Machine learningről vettem most pár kurzust, és mondhatom, hogy totálisan megérte. Vagyis a React aminek már a felén túl vagyok megérte.

• #25 DNReNTi őstag Zedz #24

  Új Válasz 2017-01-11 09:26:55 #25

  Új hozzászólás

  Összes hozzászólása itt Válaszok az összes hozzászólására itt Válaszok erre a hozzászólásra

  Privát üzenet küldése

  

  DNReNTi

  őstag

  válasz Zedz #24 üzenetére

  Ha olyasmi amit munkaban hasznositani lehet, es ra tudod szanni az idot h vegig nezd, vegig csinald, akkor nagyon megeri. Foleg ha valami szamodra uj technologiarol van szo.

• #24 Zedz addikt DNReNTi #23

  Új Válasz 2017-01-10 22:50:59 #24

  Új hozzászólás

  Összes hozzászólása itt Válaszok az összes hozzászólására itt Válaszok erre a hozzászólásra

  Privát üzenet küldése

  

  Zedz

  addikt

  válasz DNReNTi #23 üzenetére

  Sosem tudtam, hogy megéri-e ezeket megvenni. Pedig van pár hangzatos dolog.

• #23 DNReNTi őstag

  Új Válasz 2017-01-10 22:13:47 #23

  Új hozzászólás

  Összes hozzászólása itt Válaszok az összes hozzászólására itt Válaszok erre a hozzászólásra

  Privát üzenet küldése

  

  DNReNTi

  őstag

  Ha esetleg valakit erdekel: Ethical Hacking From Scratch most 10 euro Udemy-n.

• #22 PumpkinSeed addikt fordfairlane #21

  Új Válasz 2017-01-06 13:33:26 #22

  Új hozzászólás

  Összes hozzászólása itt Válaszok az összes hozzászólására itt Válaszok erre a hozzászólásra

  Privát üzenet küldése

  

  PumpkinSeed

  addikt

  válasz fordfairlane #21 üzenetére

  Mert az is. De én személy szerint jobban szeretem mint akármi mást.

• #21 fordfairlane veterán PumpkinSeed #20

  Új Válasz 2017-01-06 13:17:13 #21

  Új hozzászólás

  Összes hozzászólása itt Válaszok az összes hozzászólására itt Válaszok erre a hozzászólásra

  

  fordfairlane

  veterán

  válasz PumpkinSeed #20 üzenetére

  Így már érthető. Korrekt munka. (Hogy ez a Go mennyire furcsa nekem...)

• #20 PumpkinSeed addikt fordfairlane #19

  Új Válasz 2017-01-06 13:06:42 #20

  Új hozzászólás

  Összes hozzászólása itt Válaszok az összes hozzászólására itt Válaszok erre a hozzászólásra

  Privát üzenet küldése

  

  PumpkinSeed

  addikt

  válasz fordfairlane #19 üzenetére

  Mi a régi adatbázist akartuk használni a felhasználók bejelentkezéséhez, ezért kellett ezt lemásolni Go-ra. Amúgy én is bcrypt-et használnék.

• #19 fordfairlane veterán PumpkinSeed #18

  Új Válasz 2017-01-06 13:04:34 #19

  Új hozzászólás

  Összes hozzászólása itt Válaszok az összes hozzászólására itt Válaszok erre a hozzászólásra

  

  fordfairlane

  veterán

  válasz PumpkinSeed #18 üzenetére

  Most nézem én is a forrást, és tényleg ezt használja alapból. [link]

  Én inkább a Bcryptre szavaznék.

• #18 PumpkinSeed addikt fordfairlane #15

  Új Válasz 2017-01-06 12:54:44 #18

  Új hozzászólás

  Összes hozzászólása itt Válaszok az összes hozzászólására itt Válaszok erre a hozzászólásra

  Privát üzenet küldése

  

  PumpkinSeed

  addikt

  válasz fordfairlane #15 üzenetére

  Megkerestem...

• #17 fordfairlane veterán Vision #16

  Új Válasz 2017-01-06 12:46:17 #17

  Új hozzászólás

  Összes hozzászólása itt Válaszok az összes hozzászólására itt Válaszok erre a hozzászólásra

  

  fordfairlane

  veterán

  válasz Vision #16 üzenetére

  Egyébként alapból ez is a blowfish algoritmust használja, aminek van egy "cost" opciója, amivel növelni lehet a számítási teljesítményt, ha a hardware bírja. Ez alapból 10, de feljebb lehet tekerni 31-ig. Arra kell figyelni, hogy exponenciálisan növekszik az iterációk száma, ha jól tudom.

• #16 Vision veterán fordfairlane #12

  Új Válasz 2017-01-06 12:28:21 #16

  Új hozzászólás

  Összes hozzászólása itt Válaszok az összes hozzászólására itt Válaszok erre a hozzászólásra

  Privát üzenet küldése

  

  Vision

  veterán

  válasz fordfairlane #12 üzenetére

  Köszi, ez tetszik.

  sózza és megint titkosít és ezt 5000x megcsinálja

  Uhh, ez kicsit ágyúval verébre kategória szerintem.

• #15 fordfairlane veterán PumpkinSeed #11

  Új Válasz 2017-01-06 12:14:07 #15

  Új hozzászólás

  Összes hozzászólása itt Válaszok az összes hozzászólására itt Válaszok erre a hozzászólásra

  

  fordfairlane

  veterán

  válasz PumpkinSeed #11 üzenetére

  A FOSUserbundle is a password_hash-t használja (a Symfony security komponensen keresztül). Az ilyen házibarkács-kriptográfiát meg jobb messzire elkerülni.

• #14 sztanozs veterán Zedz #13

  Új Válasz 2017-01-06 12:13:51 #14

  Új hozzászólás

  Összes hozzászólása itt Válaszok az összes hozzászólására itt Válaszok erre a hozzászólásra

  Privát üzenet küldése

  

  sztanozs

  veterán

  válasz Zedz #13 üzenetére

  Mert nem fér hozzá fájlrendszer szinten a (webszervert futtató) usernek nincs oda joga. Kell találnia egy olyan módot, hogy a fájlt elérje.

• #13 Zedz addikt MacCaine #10

  Új Válasz 2017-01-06 12:02:54 #13

  Új hozzászólás

  Összes hozzászólása itt Válaszok az összes hozzászólására itt Válaszok erre a hozzászólásra

  Privát üzenet küldése

  

  Zedz

  addikt

  válasz MacCaine #10 üzenetére

  Kicsit már elvesztettem a fonalat, de egy .txt fájl tartalmához miért próbálkoztok az adatbázissal?

• #12 fordfairlane veterán Vision #6

  Új Válasz 2017-01-06 11:30:44 #12

  Új hozzászólás

  Összes hozzászólása itt Válaszok az összes hozzászólására itt Válaszok erre a hozzászólásra

  

  fordfairlane

  veterán

  válasz Vision #6 üzenetére

  password_hash + password_verify

• #11 PumpkinSeed addikt Vision #6

  Új Válasz 2017-01-06 10:57:31 #11

  Új hozzászólás

  Összes hozzászólása itt Válaszok az összes hozzászólására itt Válaszok erre a hozzászólásra

  Privát üzenet küldése

  

  PumpkinSeed

  addikt

  válasz Vision #6 üzenetére

  A Symfony-nak van egy nagyon jó jelszó titkosító rendszere amit most nem találok meg de azt hiszem a FOSUserBundle-ben van. Ez egy Go-ban írt reprezentációja, de lényegében ugyan az. A lényeg, hogy sózza titkosítja majd a titkosítottat megint sózza és megint titkosít és ezt 5000x megcsinálja, vagy épp amennyit megadsz neki. Mivel magát a reprezentációját is elég nehéz volt megírni nem hiszem, hogy valaki visszafejti belőle a tényleges jelszót még a hash és a só tudatában sem.

• #10 MacCaine őstag sztanozs #5

  Új Válasz 2017-01-06 10:32:29 #10

  Új hozzászólás

  Összes hozzászólása itt Válaszok az összes hozzászólására itt Válaszok erre a hozzászólásra

  Privát üzenet küldése

  

  MacCaine

  őstag

  válasz sztanozs #5 üzenetére

  SQLi sem megy.

• #9 sztanozs veterán Vision #6

  Új Válasz 2017-01-05 20:03:56 #9

  Új hozzászólás

  Összes hozzászólása itt Válaszok az összes hozzászólására itt Válaszok erre a hozzászólásra

  Privát üzenet küldése

  

  sztanozs

  veterán

  válasz Vision #6 üzenetére

  Röviden:
  SHA256(password + {Random (bináris) salt})

  Hosszabban: [link]

  Ja és az MD5 és SHA1 már hanyagolandó.

• #8 Zedz addikt Vision #6

  Új Válasz 2017-01-05 19:56:22 #8

  Új hozzászólás

  Összes hozzászólása itt Válaszok az összes hozzászólására itt Válaszok erre a hozzászólásra

  Privát üzenet küldése

  

  Zedz

  addikt

  válasz Vision #6 üzenetére

  Bcrypt + ha tutira akarok menni akkor sózom is.

• #7 DNReNTi őstag Vision #6

  Új Válasz 2017-01-05 19:02:27 #7

  Új hozzászólás

  Összes hozzászólása itt Válaszok az összes hozzászólására itt Válaszok erre a hozzászólásra

  Privát üzenet küldése

  

  DNReNTi

  őstag

  válasz Vision #6 üzenetére

  Nalam a jelszotarolas random salt + jelszo. Ez van random SHA csomagolva. Nyilvan adatbazis es kodhozzaferessel ez is felnyomhato (marmint hogy melyik user milyen SHA-t hasznal es mi a salt), de azt mar nehezen tudom elkepzelni hogy az eredeti jelszot barki visszafejti belole. Meg ha mar adatbazis es kodhozzaferes van, akkor mar minden mindegy. Authentikaciohoz JWT-t hasznalok altalaban. Ez nekem bevalt.

• #6 Vision veterán

  Új Válasz 2017-01-05 18:35:52 #6

  Új hozzászólás

  Összes hozzászólása itt Válaszok az összes hozzászólására itt Válaszok erre a hozzászólásra

  Privát üzenet küldése

  

  Vision

  veterán

  Lenne is egy kérdésem! Kicsit kiestem a fejlesztő szakmából, de most visszatérnék hobbi projektek erejéig. Webes platformon (LAMP) ti milyen jelszó tárolási/beléptetési módszert javasolnátok? Nyilván az md5 már elavult. Esetleg linkek, algoritmusok, ilyesmi?

• #5 sztanozs veterán MacCaine #4

  Új Válasz 2017-01-05 13:19:01 #5

  Új hozzászólás

  Összes hozzászólása itt Válaszok az összes hozzászólására itt Válaszok erre a hozzászólásra

  Privát üzenet küldése

  

  sztanozs

  veterán

  válasz MacCaine #4 üzenetére

  SQL service-nek van oda joga? SQL injectionnel nem tudod beolvasni?

• #4 MacCaine őstag sztanozs #3

  Új Válasz 2017-01-05 12:14:59 #4

  Új hozzászólás

  Összes hozzászólása itt Válaszok az összes hozzászólására itt Válaszok erre a hozzászólásra

  Privát üzenet küldése

  

  MacCaine

  őstag

  válasz sztanozs #3 üzenetére

  Nincs joga.

• #3 sztanozs veterán

  Új Válasz 2017-01-05 11:36:28 #3

  Új hozzászólás

  Összes hozzászólása itt Válaszok az összes hozzászólására itt Válaszok erre a hozzászólásra

  Privát üzenet küldése

  

  sztanozs

  veterán

  A feldobott témánál maradva.
  Ha van directory traversal akkor csak includeolni kell a /root/capture_the_flag.txt fájlt és kiírja, nem? Vagy oda nincs joga a www-data-nak?

• #2 DNReNTi őstag sztanozs #1

  Új Válasz 2017-01-05 11:29:11 #2

  Új hozzászólás

  Összes hozzászólása itt Válaszok az összes hozzászólására itt Válaszok erre a hozzászólásra

  Privát üzenet küldése

  

  DNReNTi

  őstag

  válasz sztanozs #1 üzenetére

  Koszi, hogy megcsinaltad, szerintem jo kis topik lesz, erdekes temakkal, aztan remelem mindenki erzi majd hol a hatar, es nem kell allandoan beletorolni, meg esetleg vegul lehuzni a rolot. Kis elozmeny a topikinditassal kapcsolatban.

• #1 sztanozs veterán

  Új Válasz 2017-01-05 11:13:17 #1

  Új hozzászólás

  Összes hozzászólása itt Válaszok az összes hozzászólására itt Válaszok erre a hozzászólásra

  Privát üzenet küldése

  

  sztanozs

  veterán

  White-hat azaz "etikus hacker" topic, hogy ne szemeteljük tele a konkérét szoftverfejlesztéssel/nyelvekkel kapcsolatos topikokat.

  Szabályok:
  - nincs segítségkérés / segítségnyújtás konkrét szerverek törésében
  - nincs segítségkérés / segítségnyújtás konkrét DOS/DDOS tevékenységben
  - nincs segítségkérés / segítségnyújtás konkrét jelszavak/hashek törésében
  - nincs segítségkérés / segítségnyújtás konkrét szoftverek feltörésében

  és általában
  - nincs segítségkérés / segítségnyújtás törvénybe ütköző tevékenységben

  A topic valószínűleg erősen moderálva lesz és résztvevők komolyabb retorzióra számíthatnak a fórum szabályzatának megsértéséért és/vagy törvénybe ütköző dolgokért.

Új hozzászólás Aktív témák