Autor Tema: De la SQLi a las redes Sociales  (Leído 3854 veces)

0 Usuarios y 1 Visitante están viendo este tema.

sunl3vy

  • *
  • Mensajes: 27
  • Liked: 7
De la SQLi a las redes Sociales
« : junio 16, 2010, 03:21:37 pm »
describo un pequeño proceso de explotacion de sqli y el error de usar las mismas contraseñas para todo.

anexo el documento y un archivo de lista de usuarios del sitio en cuestion.
saludos.

ices34

  • Mensajes: 14
  • Liked: 0
Re: De la SQLi a las redes Sociales
« Respuesta #1 : agosto 20, 2010, 09:06:57 am »
Muy interesante el artículo y pues si el error de los usuarios es ocupar la misma contraseña para otros  servicios.

Ponco

  • Mensajes: 8
  • Liked: 0
  • 29A, The number of the beast.
Re: De la SQLi a las redes Sociales
« Respuesta #2 : agosto 20, 2010, 02:44:46 pm »
WOW! Y todos los foros son suceptibles a este ataque o no?
Por cierto, alguien sabe de un CMS que encripte la db o algo asi?
Calificar algun arte es como intentar ganarle a la Cray jaguar con un abaco
Ponco

preth00nker

  • *
  • Mensajes: 130
  • Liked: 1
  • mov [MyBrain], IA
Re: De la SQLi a las redes Sociales
« Respuesta #3 : septiembre 03, 2010, 10:06:13 pm »
WOW! Y todos los foros son suceptibles a este ataque o no?
Por cierto, alguien sabe de un CMS que encripte la db o algo asi?
puedes ser más específico? en respuesta corta diría que la mayoría de CMS encriptan (o codifican, en el peor de los casos) al menos el password, hay otras técnicas de desarrollo que ocupan hash tables, donde ya no hacen búsquedas por identificadores o por registros si no por cadenas codificadas (mayoritariamente para evitar inyecciones).
un saludo!
Mov MyHeart, 4C6F7665h!!!

sunl3vy

  • *
  • Mensajes: 27
  • Liked: 7
Re: De la SQLi a las redes Sociales
« Respuesta #4 : septiembre 04, 2010, 12:10:25 am »
claro la mayoria de aplicaciones actuales, tanto comerciales y Libres implementan algoritmos de hasheo en sus diferentes variantes, desde MD5 hasta algoritmos poco conocidos pero muy eficientes.  todo depende de de la complejidad de tu contraseña, puedes obtener una tabla de usuarios con pwds en MD5 pero si son buenas contraseñas dificilmente encontraras la contraseña en texto plano.

el algoritomo que implementa cms wordpress "Portable PHP password hashes" y otros, es poco usado y potente y es similar al OpenBSD-style bcrypt

http://www.openwall.com/phpass/