Την προηγούμενη φορά σας έδειξα πως να αποτρέπετε μία επίθεση SQLi. Αυτήν την φορά θα σας δείξω πως να κρυπτογραφήσετε τους κωδικούς στην βάση σας, σε περίπτωση που κάποιος επιτήδειος βρει κενό ασφαλείας και μπει στην βάση σας. Αρχικά θα σας δείξω τον κώδικα παρακάτω. Δεύτερον, θα σας δείξω δοκιμή και πριν ο κωδικος γίνει Encrypted αλλά και μετά. Πάμε να δούμε. Αυτός λοιπόν είναι ένας απλός κώδικας για Register form σε php. Δώστε βάση στα $passwd = ($_POST['password']); Το post username το αφήνουμε στην άκρη. Εμείς θα ασχοληθούμε με το passwd και το cpasswd. Τα confirm password καλό θα ήταν να τα βάζετε. Εδώ βλέπουμε την φόρμα εγγραφής λοιπόν, με username = test και passwd and cpasswd = test επίσης. Πάμε λοιπόν να δούμε αν κάνουμε εγγραφή με αυτόν τον κώδικα, πως εμφανίζεται στην βάση και πως θα το δει ο χάκερ όταν σας πάρει πρόσβαση. Κλασικά βλέπει τα στοιχεία. test:test. Πως όμως θα τον κάνουμε να προβληματιστεί λίγο και να μπει σε μία διαδικασία Brute Force έτσι ώστε να αποκρυπτογραφήσει το hash? Το πρώτο πράγμα που θα κάνει ο χάκερ θα είναι να πάει σε ένα online hash decryptor, τότε θα αναγκαστεί να κάνει brute force και να τρέξει wordlist με την ελπίδα να βρει το hash. Αυτός είναι ο λόγος που πρέπει να βάζουμε αρκετά δύσκολους κωδικούς και κατά προτίμηση να είναι generated. Αλλιώς το encryption δεν υπάρχει λόγος να το κάνεις. Αφού λοιπόν καταλάβατε τον λόγο που πρέπει να βάζετε σκληρούς κωδικούς, συνεχίζω. Αυτός είναι ο κώδικας που θα μας βοηθήσει να κρυπτογραφήσουμε τα password. Πάμε λοιπόν και προσθέτουμε πίσω από τις παρενθέσεις ένα "md5", έτσι ώστε να έχουμε md5 hash encryption. Εδώ μία προσοχή παρακαλώ. Αν έχετε βάλει και cpasswd για επαλήθευση κωδικού, πρέπει να προσθέσετε και εκεί md5 διότι αλλιώς δεν θα διαβάζει τους κωδικούς ίδιους έτσι ώστε να αντιστοιχούν γιατί ο ένας δεν θα διαβάζεται με hash. Ξανά λοιπόν πάμε και κάνουμε εγγραφή. username = mata, passwd and cpasswd = 123. Πατάμε register και πάμε να δούμε πως φαίνεται στην βάση. Encrypted. Ο κωδικός πλέον είναι κρυπτογραφημένος και ο χάκερ θα δυσκολευτεί να τον σπάσει (σε περίπτωση που βάλουμε σκληρό κωδικό και όχι το 123 για το συγκεκριμένο παράδειγμα) Πάμε να δούμε τώρα αυτό που σας έλεγα πριν με το online hash decryptor. Κάνουμε αντιγραφή το hash Πάμε στο https://hashes.com/en/decrypt/hash και κάνουμε paste το hash μας. Αυτό θα είναι το πρώτο πράγμα που θα κάνει ο χάκερ για να δει αν υπάρχει online το hash. πατάμε submit. Ο δρόμος για τον χάκερ είναι και πάλι ανοιχτός διότι δεν βάλαμε κάποιον σκληρό κωδικό. Βρήκε τον κωδικό 202cb962ac59075b964b07152d234b70:123 Πάμε να δούμε όμως τι βγάζει όταν βάλουμε έναν δύσκολο κωδικό. Αυτην την φορά θα κάνω ξανά εγγραφή, θα βάλω τον κωδικό "greek_hacking_is_the_best_greek_forum", θα κάνω copy πάλι το hash από την βάση, και θα έρθω πάλι εδώ να δούμε πως το δείχνει και αν το βρίσκει. Βάλαμε λοιπόν το hash που αντιστοιχεί στον κωδικό greek_hacking_is_the_best_greek_forum και βλέπουμε πως δεν το βρίσκει ένα online hash decryptor. Οπότε ο χάκερ θα αναγκαστεί να κάνει brute force και να τρέξει wordlist.

Το βιβλίο αποσκοπεί να εισαγάγει τον αναγνώστη στις θεμελιώδεις έννοιες και τεχνικές της κρυπτογραφίας, με έμφαση στην αλγοριθμική και υπολογιστική διάστασή τους. Τα περιεχόμενα συνοπτικά: Εισαγωγή σε βασικές έννοιες αλγορίθμων και πολυπλοκότητας: ανάλυση αλγορίθμων, αποδοτικότητα, πολυωνυμικός χρόνος, πιθανοτικοί αλγόριθμοι, κλάσεις πολυπλοκότητας. Στοιχεία θεωρίας αριθμών και θεωρίας ομάδων: αριθμητική modulo, ομάδες, δακτύλιοι, σώματα, Κινέζικο Θεώρημα Υπολοίπων, Θεωρήματα Fermat, Euler, Lagrange, πρωταρχικές ρίζες, συνάρτηση φ του Euler, τετραγωνικά υπόλοιπα, σύμβολα Legendre και Jacobi. Υπολογιστική πολυπλοκότητα και αλγόριθμοι για βασικά αριθμοθεωρητικά προβλημάτων: επαναλαμβανόμενος τετραγωνισμός, Ευκλείδειος, επεκτεταμένος Ευκλείδειος, υπολογισμός συμβόλου Jacobi, ρίζες modulo n, έλεγχοι πρώτων αριθμών (Fermat, Solovay-Strassen, Miller-Rabin, αλγόριθμος AKS), παραγοντοποίηση (μέθοδος ρ, μέθοδος Dixon), διακριτός λογάριθμος (Shanks, Pohling-Hellman, index calculus). Συμμετρικά κρυπτοσυστήματα: πακέτου (DES, AES), ροής (stream ciphers). Τρόποι λειτουργίας. Κρυπτοσυστήματα δημοσίου κλειδιού: RSA, ElGamal. Ανταλλαγή κλειδιού Diffie-Hellman. Σχήματα ψηφιακών υπογραφών (RSA, DSS), υπογραφές ειδικού σκοπού (μιας χρήσης, τυφλές, αδιαμφισβήτητες). Κρυπτογραφικά πρωτόκολλα (διαμοιρασμού μυστικού, ρίψης νομίσματος, ανταλλαγής κλειδιού). Αποδείξεις ασφάλειας βασισμένες σε γενικά παραδεκτές υποθέσεις υπολογιστικής δυσκολίας, μοντέλα ασφάλειας (KPA, CPA, CCA, IND-CPA, IND-CCA), κρυπτογραφικές αναγωγές. Συναρτήσεις σύνοψης (hash functions) και συναρτήσεις μονής κατεύθυνσης. Ψευδοτυχαιότητα. Αποδείξεις μηδενικής γνώσης. Πρωτόκολλα ταυτοποίησης. Προηγμένα θέματα: κβαντική και μετα-κβαντική κρυπτογραφία, ελλειπτικές καμπύλες, σύνθεση πρωτοκόλλων, διγραμμικές απεικονίσεις, κρυπτογραφία με lattices. Αποτελείται από: Εισαγωγή στην Κρυπτολογία Μαθηματικό υπόβαθρο Στοιχεία Θεωρίας Υπολογισμού Αλγόριθμοι στην Κρυπτογραφία Συμμετρικά κρυπτοσυστήματα Κρυπτοσυστήματα Δημοσίου Κλειδιού Ψηφιακές Υπογραφές Συναρτήσεις Σύνοψης Κρυπτογραφικά πρωτόκολλα και τεχνικές Αποδείξεις Μηδενικής Γνώσης Σύγχρονες εφαρμογές Προηγμένα Θέματα Υπολογιστική κρυπτογραφία.pdf Πηγή: «Κάλλιπος»