Új hozzászólás Aktív témák
-
#14595328
törölt tag
Az, hogy a felhasználók milyen jelszavakat adnak meg, az az ő dolguk. Erősen rá vannak vezetve a jónak mondható formátumra (min 8 karakter, kis- és nagybetű, szám, spec karakter, tiltott jelszavak és egy jelszót nem lehet újra megadni). Persze ez sem 100%.
Adatbázisból meg nem fogják egykönnyen visszapörgetni, erős a hash és előbb ki kell annak kerülnie.Nem kémkedek kiskorúak után, de ha apám elfelejti az FTP jelszavát és nem TC-ben használná, akkor valahogy vissza kellene neki szerezni.
-
gabor7th
addikt
válasz
#14595328
#29
üzenetére
Lebuktál beakartál ettetni egy ilyen gyerekjáték-feltörni jelszóval! Vagy talán aggódni kéne a felhős ügyfeleid adataiért? Ugye hogy nem!! Természetesen én három különböző kontinensen levő kisláiny kódját keverem meg és rakom össze az a tuti! / Ez meg mi? Kiskorúak után kémkedsz? Az nem indok, hogy te csináltad őket!!!
-
válasz
#14595328
#19
üzenetére
Mondjuk ez épp nem annyira, mivel a legtöbb jelszótörőnél van opció a |33tsp3@k-emulációhoz a szótár mellé. Tehát a p@$$w0rd ugyanolyan könnyen törhető, mint a password.
A valamivel biztonságosabb helyeken (nem kell NSA-ra gondolni, a T-nél is így megy itthon) azonosító smartcard is kell a belépéshez, ami valamivel jobb, mint a fénymásolattal átverhető ujjlenyomat.
-
#14595328
törölt tag
-
#14595328
törölt tag
Hat jelszó a változtassmeg (changeme), három azonos a felhasználónévvel, kettő a jelszó (password), egy pedig az instagram karaktereket tartalmazta.
Azért mondjuk ez sem gyenge. Ilyen jelszavaknál lényegében tök mindegy, milyen hash-t használnak, még brute force vagy rainbow table sem kell.
-
zdanee
őstag
Egymillió dollár gombócban is sok. Nem kellett volna így kiírni, ha nem vállalják be. Még a végén valaki máshol váltja be az egymillió dollárját, ugyanis ennyit egészen biztosan megér egy harmadik félnek egy korlátlan hozzáférés. Ha pedig a hibát nem érzik elég nagynak, akkor jobban kéne specifikálni mi ér egy millát, bár nem tudom, hogy akármilyen pici hiba, ha végül root hozzáférést ad a kihasználójának lehet-e durvább. Ezen a szinten olyan mindegy, hogy egy pontosvessző miatt jutott be valaki, vagy hat sor kód miatt, ha bent van, akkor ennyi.
-
-
gabor7th
addikt
Aranyos megfogalmazás: "A bcrypt titkosítással ellátott jelszavakat feltörni nem tűnt egyszerűnek, azonban néhány percen belül pedig már 12 hozzáféréssel rendelkezett."
Amúgy a Facebook miért nem használ normálisan erős jelszavakat? Talán direkt? Volt már pár érdekes hiba ami valahogy segítette az adatok harmadik félhez kerülését. -
gabor7th
addikt
Majd az igazi hackereket is meg kell fenyíteni, hogy játszanak a Facebook szabályai szerint. / A legnagyobb biztonsági kockázat a Facebookkal kapcsolatban az, hogy a tulajdonosa, anno amikor még kicsi volt a Facebook retardáltaknak nevezte azokat akik megbíznak benne miközben eladta az adataikat. És ugye van az a mondás, hogy aki kicsiben nem megbízható az nagyban sem az. / Lehet mindig kifogásokkal jönni, de a igazi lényeg az: bejutott.
-
Én úgy látom, hogy talált egy "ajtót", amin keresztül be tudott hatolni, és rámutatott még egy hibára a rendszerben, amit ki lehet használni az 'ajtón' átlépve.
Igazából mindkét fél nézetét meg lehet érteni, de ezzel együtt is csúnya volt a Facebook eljárása a telefonos fenyegetéssel.
A srác meg lehet ismét kapott egy lökést a sötét oldal fele, mert ez a hiba és az, amit mögötte talált olyan, amiért a fekete piacon 2500 dollárnál többet kaphatott volna.
-
-szp-
aktív tag
Jogos amit írsz, a fickó problémája szerintem az, hogy kódvisszafejtés révén hozzájutott a konfigfájlhoz, amiben megtalálta az 1. kulcsot, amivel hozzáfért az autoscale tárolóhoz. Ebben volt a 2. kulcs, amivel hozzáfért a többihez is, gyakorlatilag mindenhez.
Nem tudom, hogy meg lehetett volna oldani másként a tárolást vagy sem, extra titkosítással vagy bármilyen egyéb módszerrel, de úgy tűnik senki sem számított rá, hogy bejutnak a rendszerbe. -
Akkor nem a Facebook "játékszabályai" szerint kell játszani, hanem kiposztolni a hozzáféréseket minél több helyre. A Facebook meg eldöntheti, megért-e volna neki egymillát.
-
Cathfaern
nagyúr
Nem teljesen értem a problémát. Ő egyedül az admin felületet törte fel., azt ki is fizették neki. Minden más amit azon túl csinált, az nem további biztonsági rés megtalálása volt, hanem egyszerűen az első (kifizetett) biztonsági rést használta ki adatok megszerzésére. A túl egyszerű jelszavak bár biztonsági rést jelentenek, de nem technikai biztonsági rés, amire az alapkiírás vonatkozik. A AWS kulcspár pedig felteszem szükséges volt az app működéséhez, ezért volt benne a konfig fájlokban, szóval ez ugyancsak nem biztonsági rés.
Tehát amit talált azt kifizették, majd ezután ő nyilvánosságra hozta az egészet (ami a szabályzat szerint tiltott), és meglepődik hogy erre jelzik neki hogy nem a szabályok szerint játszott. Ezen miért lepődik meg?
Új hozzászólás Aktív témák
it Néhány hiba együttes kihasználásával a rendszer, a titkosítókulcsok és a szervereken tárolt fájlok is hozzáférhetőek voltak. A Facebook mégsem fizet túl sok pénzt.
- ARCTIC Liquid Freezer II 360 Szinte újszerű, Non-RGB változat!
- BONTATLAN - M4 MAX MacBook Pro 14" 14C CPU / 32C GPU / 36GB RAM / 1 TB SSD / Magyar - ÁFÁ-s
- Machinist X99 PR8, Xeon E5-2666V3 (10mag/20szál 3,5Ghz, AllCoreTurbo és ReBar!), 32GB Ram Erőgép ÚJ!
- Macbook Pro 13" M1 - 2021 gyártás, 512GB, touchbar - garancia ( 63)
- APC Smart UPS On-Line 2000VA, 1400W, 230V
Állásajánlatok
Cég: Laptopszaki Kft.
Város: Budapest
Cég: PCMENTOR SZERVIZ KFT.
Város: Budapest