Új hozzászólás Aktív témák
-
például mit kezdesz pgp-vel 12 bájtnyi értékes adat titkosításánál? rádobod a nagyjából 100 bitnyi értékes adatra a 4096 bites kulcsot?? mert ha elrejted egy 256 bites pgp-vel, azt a mai technológiával órák alatt megfejtik.
ráadásul az adatok között folyamatosan keresni kell, mert ügyfélszolgálati panasz vagy számlareklamáció mindig van, mint ahogy a normál ügymenet része az is, hogy mozognak az adatok. tehát ott kell legyen az adat cleartextben is.
Egy átlagos héten négy hétfő és egy péntek van (C) Diabolis
-
-
válasz #14595328 #39 üzenetére
ahhoz, hogy hitelt érdemlően kijelenthessem, hogy meg lehet-e védeni sql injection ellen egy rendszert egy rendes tűzfallal, el kellene olvasnom megint a http szabványt (de ezt most nem fogom megtenni ). de kis összeggel arra fogadnék, hogy igen.
[ Szerkesztve ]
Egy átlagos héten négy hétfő és egy péntek van (C) Diabolis
-
-
válasz #14595328 #44 üzenetére
szerintem (nehézsúlyú találgatás következik ) ha az applikációd elé elévarrsz egy apacs terheléselosztót, és ha igaz a hiedelmem, hogy a post requestben a változókat soronként ascii szövegként adja át, akkor lehet csinálni olyan reguláris kifejezést, hogy az sql injectionra utaló jeleket tartalmazó sorokat szűrje.
és akkor nem tudod ezzel a módszerrel támadni a szervert. de mivel továbbra sincs a todo listám tetején, hogy ma este http szabványt olvasgassak, ez találgatás kategória maradt
Egy átlagos héten négy hétfő és egy péntek van (C) Diabolis
-
válasz #14595328 #62 üzenetére
"egy AES kulcsot nem "elérhető" helyen tartottak.": hol tartasz egy kulcsot, amit gyakorlatilag folyamatosan használnod kellene?
"Using a Botnet to “Crack” AES Encryption Keys?" nem sok ez, megvárjuk
én minden jelszót olyan formátumban tárolok, ami arányos azzal, hogy mekkora kár keletkezik, ha kompromittálódik.
Egy átlagos héten négy hétfő és egy péntek van (C) Diabolis
-
válasz #14595328 #75 üzenetére
megint megkérdezem, mert egyre jobban érdekel a dolog:
hol tartasz egy adatbázis-titkosító kulcsot, amit egyébként folyamatosan használni kellene?
új kérdés:
hol tartod az adatbázistitkosító kulcsot egy sql injection támadás kellős közepén, amivel az egyik lekérdezés még lefut, de az injektált másik nem?a válasz konkrétumok szintjéig érdekelne.
Egy átlagos héten négy hétfő és egy péntek van (C) Diabolis
-
válasz #14595328 #86 üzenetére
komolyan elgondolkodtam azon, amiket írtál, de nem értem.
ha jól tudom, az sql injectionok egyik formája, hogy a rendszer nem csak azt a rekordot adja vissza, amire szükség van, hanem sok másikat is. egyszerűség kedvéért tegyük fel, hogy az első három rekord az igazi adat, a 4-től kezdődőek meg az injektált lopottak.
akkor a rendszernél ott van a visszafejtési kulcs, amivel az első három legális adatot kiírja, ugyanazzal a lendülettel visszafejti a többit is, és kiírja azokat is.ha meg nem az applikáció fejti vissza az adatokat, hanem az adatbáziskezelő, akkor megint nem védtél meg semmit, mert nem fogja tudni, hogy hány rekord lenne a helyes válasz.
az mindegy, honnan kerül be a titkos jelszó a rendszerbe, usb tokenről vagy begépelik, a problémám az, hogy a rendszer életszerű használata esetén egyszer ott kellene, hogy legyen a jelszó, máskor meg nem, és ezt a két esetet lehet, hogy lehetetlen szétválasztani.
Egy átlagos héten négy hétfő és egy péntek van (C) Diabolis
Új hozzászólás Aktív témák
- Intel I7 13700K 16mag/24szál - Új, Tesztelt - Eladó! 128.000.-
- Intel I5 13600KF 14mag/20szál - Új, Tesztelt - Eladó! 89.900.-
- 100db 4WORLD - 08529 - SATA3 KÁBEL 45CM - RED Új
- Sony PlayStation 5 (PS5) Játékkonzol csomag
- SK Hynix Platinum P41 2 TB M.2 NVME PCI-E 4.0 x4 - Új, Tesztelt - 7000-6500 MBs - Eladó!