-Średni Hacking przez fora internetowe - bezpiecze?stwo

[Zheyr]

Tutorial jest po?wi?cony bezpiecze?stwu! Autor nie ponosi odpowiedzialno?ci za wykorzystanie Tutorial'a/lub jego cz??ci w nieodpowiednich celach!
Tutorial zosta? przedstawiony na CMS'ie phpBB2!​

Po przeczytaniu tego samouczka dowiesz si?:

• Na co si? nara?asz rejestruj?c si? na forach internetowych,
• Jak zabezpieczy? si? przed w?amaniem poprzez fora internetowe,
• Na jakiej zasadzie przebiega w?amanie.

Za pewnie nie raz spotkali?cie si? ze stwierdzeniem, aby "Nigdy nie mie? takiego samego has?a do skrzynki pocztowej jak na forach internetowych" itp.
Zastanawiali?cie si? "Dlaczego?". Bez d?u?szego zastanowienia machn?li?cie na to r?k? co by?o wielkim b??dem. Postaram si? Wam w tym poradniku wyt?umaczy? dlaczego.
Mo?e nie wiecie, nie posiadacie takiej wiedzy, lecz powinni?cie wiedzie?, ?e dane na kt?re si? rejestrujemy s? zapisywane w bazie danych, do kt?rej wgl?d ma administrator strony lub osoby posiadaj?ce nieautoryzowany dost?p.

Wyobra?my sobie nast?puj?c? sytuacj?:
- rejestrujemy si? na forum internetowym o tematyce gier komputerowych w danym celu. Administrator tej?e strony nale?y do grona "Black Hat's" (Czarnych Kapeluszy) i za?o?y? j? jedynie dla w?asnych korzy?ci. Jego celem jest kradzie? skrzynek pocztowych u?ytkownik?w strony. Owy admin wchodzi do bazy danych forum w celu sprawdzenia "zebranych plon?w", przechodzi do kolumny, w kt?rej s? zapisywane za?o?one konta i co widzi?

Mo?ecie sobie pomy?le? "Co z tego, je?eli moje has?o jest zakodowane?" - u?wiadomi? Was, ?e ka?de has?o mo?na odkodowa?.
Jak wygl?daj? odkodowanie wy?ej podane has?a?

admin -> admin
Lolek -> romanek
cs-zal -> counterstrike
nokia -> nokiac5

Jak je odkodowa?? To zostawi? dla siebie ze wzgl?d?w bezpiecze?stwa.

No dobra, co dalej? Owy administrator ma zapisane w bazie adresy email u?ytkownik?w, a wi?c na przyk?adzie:
- U?ytkownik "Lolek", posiada takie same has?o do forum i do skrzynki pocztowej, a wi?c w?a?ciciel strony wchodzi na o2 i pr?buj? si? zalogowa? na dane

Login: lolek
Has?o: romanek

Udaje mu si?! Co dalej? Szuka interesuj?cych go rzeczy. Chce na przyk?ad kra?? konta STEAM, a wi?c ich szuka. Podczas szukania zobaczy?, i? "Lolek" posiada forum.
"Wygrzebuje" potrzebne dane do zalogowania i co mo?e z nimi zrobi??

• Wykra?? baz? danych,
• Ma dost?p do FTP, a wi?c mo?e wszystko.. od defacingu do reszty co jest mo?liwe,
• Integrowa? og?lnie w stron?.

Je?eli ma dost?p do konta administratora to w "Tablicy og?osze?" mo?e zrobi? og?oszenie, tj.

Maj?c dost?p do Waszej skrzynki pocztowej - mo?e wszystko. Dost?p do kont bankowych, portali spo?eczno?ciowych, mo?e wykra?? tysi?ce wa?nych informacji, dokument?w itd.

U?wiadomi?em dlaczego nie powinni?cie mie? takiego samego has?a forum-email i jakie wi??? si? z tym konsekwencje.

Teraz przedstawi? Wam jak temu zapobiec:

1. Mie? inne has?o na forum, a inne do emaila,
2. Korzysta? z innych emaili do for, gier, a innych do tego, aby np. szef z pracy m?g? Wam wys?a? wa?ne dokumenty,
3. Posiada? bardzo mocne has?o, aby admin mia? minimalne szanse na odkodowanie tego has?a. Proponuj? generowa? has?o za pomoc?
   Nie masz wystarczających uprawnień, aby zobaczyć link. Zaloguj or Rejestracja
   generatora z w??czon? opcj? "znaki interpunkcyjne" i "znaki specjalne"

Mo?ecie by? spokojni o swoje has?a na Tnecie.. vBulletin posiada pot??ne kodowanie co wi??? si? z minimalnym procentem odkodowania has?a.

 

[Roy4lz]

Odp: Hacking przez fora internetowe - bezpiecze?stwo

A co powiesz o MyBB, kt?ro zosta?o zrobione z my?l? o vB ?
Jak z zabezpieczeniami na tym silniku ? Kt?ry silnik forum jest najbezpieczniejszy ?

 

[Dziki Johnson]

Odp: Hacking przez fora internetowe - bezpiecze?stwo

Jak je odkodowa?? To zostawi? dla siebie ze wzgl?d?w bezpiecze?stwa.

Nie mog? si? z tym zgodzi?.
Algorytmy typu sha1 czy md5 s? jednostronne (mo?na tylko zakodowa?, nie da si? odkodowa?) wi?c jedyna metoda na z?amanie has?a to kodowanie i sprawdzanie zgodno?ci obu hash?w ^^
Oczywi?cie niekt?rzy u?ywaj? algorytm?w dwustronnych (np. Base64, ROT13), ale na pewno nie tw?rcy jakiegokolwiek silnika forum (w tym vBuletinu) czy ktokolwiek kto umie my?le?.
Has?o koduje si? tak by jak najbardziej utrudni? robot? potencjalnym hakerom.
Zwyk?e sha1 te? ma?o co uchroni, dlatego przy wi?kszych projektach, ,,bardziej ogarni?tych" os?b stosuje si? wielokrotne hashowanie polegaj?ce na np generowaniu jakiego? klucza, hashowaniu go algorytmem, shashowanie has?a, a nast?pnie shashowanie po?aczonego has?a z algorytmem, i tak shashowane has?o jest trudne do z?amania ;p

A co powiesz o MyBB, kt?ro zosta?o zrobione z my?l? o vB ?
Jak z zabezpieczeniami na tym silniku ? Kt?ry silnik forum jest najbezpieczniejszy ?

Wygrzeb plik z kodowaniem has?a i zobacz

Pozdrawiam

 

[Zheyr]

Odp: Hacking przez fora internetowe - bezpiecze?stwo

Nie mog? si? z tym zgodzi?.
Algorytmy typu sha1 czy md5 s? jednostronne (mo?na tylko zakodowa?, nie da si? odkodowa?) wi?c jedyna metoda na z?amanie has?a to kodowanie i sprawdzanie zgodno?ci obu hash?w ^^
Oczywi?cie niekt?rzy u?ywaj? algorytm?w dwustronnych (np. Base64, ROT13), ale na pewno nie tw?rcy jakiegokolwiek silnika forum (w tym vBuletinu) czy ktokolwiek kto umie my?le?.
Has?o koduje si? tak by jak najbardziej utrudni? robot? potencjalnym hakerom.
Zwyk?e sha1 te? ma?o co uchroni, dlatego przy wi?kszych projektach, ,,bardziej ogarni?tych" os?b stosuje si? wielokrotne hashowanie polegaj?ce na np generowaniu jakiego? klucza, hashowaniu go algorytmem, shashowanie has?a, a nast?pnie shashowanie po?aczonego has?a z algorytmem, i tak shashowane has?o jest trudne do z?amania ;p


Wygrzeb plik z kodowaniem has?a i zobacz

Pozdrawiam

Zgodzi? si? z Tob? musz? - ?le si? wys?owi?em troch?.
Tak.. w phpBB2 jest to jednostronne. Mo?na sprawdza? zgodno?? obu hash?w (za?o?? si?, ?e wiesz jak - nie wtajemniczaj innych).
W phpBB3 jest ju? to z?o?one... md5 + sh1_256 (bodaj?e), zwanej inaczej switchem, solem czy jako? tak. Wtedy hash nie wygl?da, np. tak "2gsa7das221213gba762" tylko "2/2!hdas72ad" - i tutaj ju? z por?wnywaniem metod? zgodno?ci jest problem.

A co powiesz o MyBB, kt?ro zosta?o zrobione z my?l? o vB ?
Jak z zabezpieczeniami na tym silniku ? Kt?ry silnik forum jest najbezpieczniejszy ?

Szczerze? Nie wiem. Mam robot? - wykonuj?.

 

[JacaMass]

Odp: Hacking przez fora internetowe - bezpiecze?stwo

Mo?e i ja przy??cz? si? do tego tematu takie same w?amania robi? ludzie , kt?rzy tworz? serwery z baz? danych. Dajmy przyk?ad robi? konto na serwerze podaje numer konta, has?o i email wszystko jest zapisywane na bazie danych i taki Admin serwera wykorzystuje to i sprawdza ka?de konto ,kt?re zosta?o utworzone na jego serwerze kopiuj?c has?o podane przy utworzeniu postaci oraz email . Jest mas? ludzi ,kt?rzy podaj? has?a ,kt?re pasuj? do poddanego emaill'a przy utworzeniu konta, dlatego dochodzi do w?ama? i kradzie?y. Trzeba bardzo ostro?nie podchodzi pod takie rzeczy ,w ko?cu kto? poruszy? ten temat i jest on bardzo interesuj?cy mo?e i kto? we?mie to pod uwag? i b?dzie bardzo ostro?ny(a) przy robieniu kont na r??nych portalach, forach i serwerach.

 

[Zheyr]

Odp: Hacking przez fora internetowe - bezpiecze?stwo

Mo?e i ja przy??cz? si? si? do tego tematu takie same w?amania robi? ludzie , kt?rzy tworz? serwery z baz? danych. Dajmy przyk?ad robi? konto na serwerze podaje numer konta, has?o i email wszystko jest zapisywane na bazie danych i taki Admin serwera wykorzystuje to i sprawdza ka?de konto ,kt?re zosta?o utworzone na jego serwerze kopiuj?c has?o podane przy utworzeniu postaci oraz email . Jest mas? ludzi ,kt?rzy podaj? has?a ,kt?re pasuj? do poddanego emaill'a przy utworzeniu konta, dlatego dochodzi do w?ama? i kradzie?y. Trzeba bardzo ostro?nie podchodzi pod takie rzeczy ,w ko?cu kto? poruszy? ten temat i jest on bardzo interesuj?cy mo?e i kto? we?mie to pod uwag? i b?dzie bardzo ostro?ny przy robieniu kont na r??nych portalach, forach i serwerach.

Dok?adnie

---Aktualizacja---

Od?wie?am. Kiedy? mo?e napisz? bardziej rozbie?ny temat

 

[Danonix]

Odp: Hacking przez fora internetowe - bezpiecze?stwo

Jak dla mnie to taki poradnik dla ma?o kumatych w necie, wiadomo, ka?dy orze jak mo?e i s? ludzie co "hakuj?" dla zabawy. Mo?na du?o na tym straci?, wi?c radze wszystkim mie? inne has?a wsz?dzie

 

[Arkam]

Odp: Hacking przez fora internetowe - bezpiecze?stwo

Maj?c dost?p do Waszej skrzynki pocztowej - mo?e wszystko. Dost?p do kont bankowych, portali spo?eczno?ciowych, mo?e wykra?? tysi?ce wa?nych informacji, dokument?w itd.

Dostep do kont bankowych nie ma nic wspolnego z mailem :|

Algorytmy typu sha1 czy md5 s? jednostronne (mo?na tylko zakodowa?, nie da si? odkodowa?) wi?c jedyna metoda na z?amanie has?a to kodowanie i sprawdzanie zgodno?ci obu hash?w ^^

Istnieje jeszcze cos takiego jak Pentbox, ktory daje mozlwiosc odkodowania sha~ ;P Jak ktos chce byc bezpieczny to ma wszedzie inne hasla i tyle a kodowanie nic niedaje bo admin w kazdej chwili moze odkodowac haslo

 

[Sir Budo]

Odp: Hacking przez fora internetowe - bezpiecze?stwo

Wystarczy z g?owa serfowa? po internecie, i nic nie jest wstanie zasyfi? twojego komputera, czy wykra?? z niego jakie? informacje.. a pozatym teraz wiele os?b boi si? takiego typu rzeczy robi? bo dajmy na to za tydzie? CBA mu zapuka do drzwi, je?eli dobrze to zorganizujesz. (poinformujesz odpowiednie do tego s?u?by)

 

[Grimekk]

Odp: Hacking przez fora internetowe - bezpiecze?stwo

sha1 da si? odkodowa?.

Poradnik bardzo ?adnie napisany.

Jak je odkodowa?? To zostawi? dla siebie ze wzgl?d?w bezpiecze?stwa.

W?tpi? ?eby? wiedzia? =d.

Poza tym - serio? ?redni? To jest co-najmniej banalne, jedyna umiej?tno?? tutaj potrzebna to czytanie.

 

[Tryndemere]

Odp: Hacking przez fora internetowe - bezpiecze?stwo

Nie mog? si? z tym zgodzi?.
Algorytmy typu sha1 czy md5 s? jednostronne (mo?na tylko zakodowa?, nie da si? odkodowa?) wi?c jedyna metoda na z?amanie has?a to kodowanie i sprawdzanie zgodno?ci obu hash?w ^^
Oczywi?cie niekt?rzy u?ywaj? algorytm?w dwustronnych (np. Base64, ROT13), ale na pewno nie tw?rcy jakiegokolwiek silnika forum (w tym vBuletinu) czy ktokolwiek kto umie my?le?.
Has?o koduje si? tak by jak najbardziej utrudni? robot? potencjalnym hakerom.
Zwyk?e sha1 te? ma?o co uchroni, dlatego przy wi?kszych projektach, ,,bardziej ogarni?tych" os?b stosuje si? wielokrotne hashowanie polegaj?ce na np generowaniu jakiego? klucza, hashowaniu go algorytmem, shashowanie has?a, a nast?pnie shashowanie po?aczonego has?a z algorytmem, i tak shashowane has?o jest trudne do z?amania ;p


Wygrzeb plik z kodowaniem has?a i zobacz

Pozdrawiam

S? ju? bazy danych z hashami np.:

Nie masz wystarczających uprawnień, aby zobaczyć link. Zaloguj or Rejestracja

a to zahashowane moje imie:

8c4205ec33d8f6caeaaaa0c10a14138c

Wpierdol i zobacz wynik, a tu generator hashu:

Nie masz wystarczających uprawnień, aby zobaczyć link. Zaloguj or Rejestracja

 

[Zheyr]

Odp: Hacking przez fora internetowe - bezpiecze?stwo

Najwi?ksz? baz? hashy jest Google, uwierz mi

 

[Tryndemere]

Odp: Hacking przez fora internetowe - bezpiecze?stwo

Google to najwi?ksza baza wszystkiego. Liczy si? tylko dobre zapytanie : >. I nie trzeba tu by? hackerem.

 

[puma0909]

Odp: Hacking przez fora internetowe - bezpiecze?stwo

Jak ktos ci sie wjebie na forum a masz na tym samym Hoscie co np otsa to na koncie administratora wkrywa uploadera potem shella i moze wszystko a exploit?w na fora typu PHPbb jest od groma

 

[Mag Egzorcysta]

Odp: Hacking przez fora internetowe - bezpiecze?stwo

Najwi?ksz? baz? hashy jest Google, uwierz mi

Szkoda zachodu.. A skoro kto? ma dost?p do bazy forum vbulletin to ma hash'a i salt'a, wi?c w tym momencie z?amanie takiego has?a to kwestia paru sekund-minut, do 7-8 znak?w. Potem ju? godziny.

Nie masz wystarczających uprawnień, aby zobaczyć link. Zaloguj or Rejestracja

- Masz, co? dla ciebie.
Vbulletin:
ighashgpu.exe -h:a4e5e1fd2cb7ae7d2961470ce50b966c -t:md5x2s -asalt:_~Y /max:7

Co do OTS'?w to cud jak kto? u?yje chocia? sha1.
Wtedy u?ywa si? baz hash?w, takiej jak np. poda? Tryndamere.

Najlepszym sposobem jest u?ywanie innego has?a do innego emaila, forum, gry, itd. - A jak kto? ma s?ab? pami?? to niech sobie zakupi kalendarzyk.