• 15 апреля стартует «Курс «SQL-injection Master» ©» от команды The Codeby

    За 3 месяца вы пройдете путь от начальных навыков работы с SQL-запросами к базам данных до продвинутых техник. Научитесь находить уязвимости связанные с базами данных, и внедрять произвольный SQL-код в уязвимые приложения.

    На последнюю неделю приходится экзамен, где нужно будет показать свои навыки, взломав ряд уязвимых учебных сайтов, и добыть флаги. Успешно сдавшие экзамен получат сертификат.

    Запись на курс до 25 апреля. Получить промодоступ ...

Http Password

  • Автор темы Vitiay
  • Дата начала
Статус
Закрыто для дальнейших ответов.
V

Vitiay

Ребята! Спс что зашли с жеданием помочь!!!
У меня такой вопрос. Поле HTTP PASSWORD содержит хэш от пароля для доступа в нэт (если не так - пишите). Но пытаюсь snifer-ом славить весь сетевой трафик (у меня эмуляция интернета в сети) и получаю лишь одно и тоже: имя пользователя и пароль идут в чистом виде. Нет никакой возможности проверить когда посылается сам хэш. И вообще не могу запустить использование SSL. Все время базовый протокол (в чистом виде).
Хотя есть некоторые успехи - наконец то узнал алгоритм вычисления хэша по паролю. Но это не очень помогает - так как в трафике пока этот хэш не обюнаружил.
Если знаете об этом больше (в чем не сомневаюсь) - напишите
Заранее спс.
P.S.: эту же тему кинул в форум администрироване - так что можете ответить только на 1
 
V

Veselinka

В свойствах базы надо указать что коннекция идет по https. Настройки сервера по умолчанию, насколько я знаю, позволяют https_ные коннекции к базам.

С точки зрения процесса:
Пароль передается на сервер в открытом виде (или в шифрованном по https) и там уже хэшируется и этот хэш сравнивается с тем, что лежит в карточке пользователя в адрес буке.
 
V

Vitiay

спс за ответ.
Так что, получается, что никакой БЕЗОПАСНОСТИ HTTP password не служит (можно просто перехватить)? Тогда зачем они хрант хэш, а не сам пароль? Чтобы нельзя было увидеть с нэта сам пароль другого пользователя, а только хэш? (это я про то, что если открыть из нэта names.nsf, а потом в отдельном окне какого-либо пользователя, то при просмотре Вид->Простомтр HTML кода есть поле HTTP Password, в котором этот хэш и содержиться => виден всем и каждому, кто может просто посмотреть).
У меня в принципе была такая мысль, но я не очень поверил. Теперь отнесусь к ней серьезней
Еще раз спс.
P.S.: Продолжаем обсуждать, не стесняйтесь. Еще Много непонятного
 
D

Domino6

<!--QuoteBegin-Vitiay+20:06:2006, 15:28 -->
<span class="vbquote">(Vitiay @ 20:06:2006, 15:28 )</span><!--QuoteEBegin-->виден всем и каждому, кто может просто посмотреть).
[snapback]38543" rel="nofollow" target="_blank[/snapback]​
[/quote]
опятьже кому разрешили смотреть

http никогда не был безопасным иногода и в урлах передают имена и пароли от этого фаерфол не становиться "дырявым"

Для безопасности https

<!--QuoteBegin-Vitiay+20:06:2006, 15:28 -->
<span class="vbquote">(Vitiay @ 20:06:2006, 15:28 )</span><!--QuoteEBegin-->в котором этот хэш и содержиться => виден всем и каждому
[snapback]38543" rel="nofollow" target="_blank[/snapback]​
[/quote]
ну и что это все равно если я скажу тебе что результатт простой математической функции из двух цыфр 4, все равно не назовеш исходные цыфры
 
V

Vitiay

Ребят Вы мне скажите подробнее про сам HTTP пароль, а найти пароль по хэшу я уж как нибудь сумею
 
Статус
Закрыто для дальнейших ответов.
Мы в соцсетях:

Обучение наступательной кибербезопасности в игровой форме. Начать игру!

Верх Низ