Кто-нибудь сталкивался с задачей расковырять *.ID Файл и вытащить от туда имя пользователя? Открыт ли формат ?
-
Познакомьтесь с пентестом веб-приложений на практике в нашем новом бесплатном курсе
ну ты бы хоть попробовал сначала 
открыл какой-то обычный id.
нашел там имя сертификатора, имя пользователя, даже имя сервера... искал по "O="
зы: конечно, это не правило, кто знает, может есть совсем зашифрованные, или от версии к версии разные форматы. я смотрел ид из 5-ки.
открыл какой-то обычный id.
нашел там имя сертификатора, имя пользователя, даже имя сервера... искал по "O="
зы: конечно, это не правило, кто знает, может есть совсем зашифрованные, или от версии к версии разные форматы. я смотрел ид из 5-ки.
Разумеется я открывал. Имя храниться в открытом формате. Но может есть некий цивилизованный(документированный) способ.
Имею в виду какая структура файла. По какой сигнатуре искать где в файле лежит имя. Иле единственное что можно так это открыть файл как текст и искать по маске строку с началом на "O="
Имею в виду какая структура файла. По какой сигнатуре искать где в файле лежит имя. Иле единственное что можно так это открыть файл как текст и искать по маске строку с началом на "O="
Если в ID есть recovery info, то там в открытом виде больше 1 имени можно обнаружить. Там и дополнительные языки могут быть указаны тоже.
Так что просто искать текст внутри файла имхо не самая лучшая идея, хотя возможно единственная.
Так что просто искать текст внутри файла имхо не самая лучшая идея, хотя возможно единственная.
в .id хранится приватный ключ... как вы думаете - открыт ли формат? и зачем защита паролем на .id вешается?
вот всё бы нам расковырять толькоlease: ЗАЧЕМ? узнать чей .id? такие трудозатраты надо, если у нас сотни тыс. ид-шников все с наименованием юзер.ид да и то сомнителен смысл...
вот всё бы нам расковырять только
lease: ЗАЧЕМ? узнать чей .id? такие трудозатраты надо, если у нас сотни тыс. ид-шников все с наименованием юзер.ид да и то сомнителен смысл...
ты IDVAULT имеешь ввиду?
ну так там внутренними средствами лотусины всё делается... особо меня порадовало, что уполномоченный для восстановления .ид и сброса пароля админ лёгким движением руки в любой момент получает любой .ид из хранилища уже БЕЗ пароля
lease: как минимум не надо хранить первоначальные компии файлов...правда, пока неочевидно как оно работает, например, со сменой публичных ключей....
тут вопрос в том, что даже в лотусине если делаешь "открыть .ид" требует пароль - понятно. чтоб открыть доступ к инфе...
а в текстовом варианте всё значимое захешировано, похоже имя юзера лотусиное не относится к значимой информации
при каждом изменении в id-файле (продлен сертификат, изменены ключи) он закидывается заново в IDVAULTS
в общем не по теме топика, но IDVAULTS штука полезная - не заморачиваясь с сертификатами восстановления и ключами юзеров можно нормально работать
Обучение наступательной кибербезопасности в игровой форме. Начать игру!