Chatroom Rules

[Mata 56]

Την προηγούμενη φορά σας έδειξα πως να αποτρέπετε μία επίθεση SQLi. Αυτήν την φορά θα σας δείξω πως να κρυπτογραφήσετε τους κωδικούς στην βάση σας, σε περίπτωση που κάποιος επιτήδειος βρει κενό ασφαλείας και μπει στην βάση σας. Αρχικά θα σας δείξω τον κώδικα παρακάτω. Δεύτερον, θα σας δείξω δοκιμή και πριν ο κωδικος γίνει Encrypted αλλά και μετά. Πάμε να δούμε.

 

Αυτός λοιπόν είναι ένας απλός κώδικας για Register form σε php. Δώστε βάση στα $passwd = ($_POST['password']);

Το post username το αφήνουμε στην άκρη. Εμείς θα ασχοληθούμε με το passwd και το cpasswd. Τα confirm password καλό θα ήταν να τα βάζετε.

 

Εδώ βλέπουμε την φόρμα εγγραφής λοιπόν, με username = test και passwd and cpasswd = test επίσης. 

Πάμε λοιπόν να δούμε αν κάνουμε εγγραφή με αυτόν τον κώδικα, πως εμφανίζεται στην βάση και πως θα το δει ο χάκερ όταν σας πάρει πρόσβαση.

Κλασικά βλέπει τα στοιχεία. test:test. Πως όμως θα τον κάνουμε να προβληματιστεί λίγο και να μπει σε μία διαδικασία Brute Force έτσι ώστε να αποκρυπτογραφήσει το hash? Το πρώτο πράγμα που θα κάνει ο χάκερ θα είναι να πάει σε ένα online hash decryptor, τότε θα αναγκαστεί να κάνει brute force και να τρέξει wordlist με την ελπίδα να βρει το hash.  Αυτός είναι ο λόγος που πρέπει να βάζουμε αρκετά δύσκολους κωδικούς και κατά προτίμηση να είναι generated. Αλλιώς το encryption δεν υπάρχει λόγος να το κάνεις. Αφού λοιπόν καταλάβατε τον λόγο που πρέπει να βάζετε σκληρούς κωδικούς, συνεχίζω.

 

 

Αυτός είναι ο κώδικας που θα μας βοηθήσει να κρυπτογραφήσουμε τα password. Πάμε λοιπόν και προσθέτουμε πίσω από τις παρενθέσεις ένα "md5", έτσι ώστε να έχουμε md5 hash encryption. Εδώ μία προσοχή παρακαλώ. Αν έχετε βάλει και cpasswd για επαλήθευση κωδικού, πρέπει να προσθέσετε και εκεί md5 διότι αλλιώς δεν θα διαβάζει τους κωδικούς ίδιους έτσι ώστε να αντιστοιχούν γιατί ο ένας δεν θα διαβάζεται με hash.

 

 

Ξανά λοιπόν πάμε και κάνουμε εγγραφή. username = mata, passwd and cpasswd = 123. Πατάμε register και πάμε να δούμε πως φαίνεται στην βάση.

 

 

Encrypted. Ο κωδικός πλέον είναι κρυπτογραφημένος και ο χάκερ θα δυσκολευτεί να τον σπάσει (σε περίπτωση που βάλουμε σκληρό κωδικό και όχι το 123 για το συγκεκριμένο παράδειγμα)

 

Πάμε να δούμε τώρα αυτό που σας έλεγα πριν με το online hash decryptor. Κάνουμε αντιγραφή το hash

 

 

Πάμε στο https://hashes.com/en/decrypt/hash και κάνουμε paste το hash μας. Αυτό θα είναι το πρώτο πράγμα που θα κάνει ο χάκερ για να δει αν υπάρχει online το hash. πατάμε submit.

 

 

Ο δρόμος για τον χάκερ είναι και πάλι ανοιχτός διότι δεν βάλαμε κάποιον σκληρό κωδικό. Βρήκε τον κωδικό 202cb962ac59075b964b07152d234b70:123

 

Πάμε να δούμε όμως τι βγάζει όταν βάλουμε έναν δύσκολο κωδικό. Αυτην την φορά θα κάνω ξανά εγγραφή, θα βάλω τον κωδικό "greek_hacking_is_the_best_greek_forum", θα κάνω copy πάλι το hash από την βάση, και θα έρθω πάλι εδώ να δούμε πως το δείχνει και αν το βρίσκει.

 

Βάλαμε λοιπόν το hash που αντιστοιχεί στον κωδικό greek_hacking_is_the_best_greek_forum και βλέπουμε πως δεν το βρίσκει ένα online hash decryptor. Οπότε ο χάκερ θα αναγκαστεί να κάνει brute force και να τρέξει wordlist.

 

Edited 5 Σεπτεμβρίου 2022 by Mata

[Yoo 1]

Αυτο το ποστ ειναι σαν να παίζεις φιδάκι στο clearnet