Faille dans MySQL avec le md5 ?

Répondre
Citer ce message
diablo
le 29/03/2007 à 21:15
diablo
1 - je n'ai pas dis que le cracker avait accès à ta bdd, une simple faile xss, ou un SQL injection peut suffire à afficher le contenu d'une table.
2 - je ne vois pas trop comment en ayant accès à une bdd on prend le controle systématique d'un site, enfin ça dépend du site il est clair qu'un nucked avec une bdd non sécurisée est dead mais pour les sites persos je ne vois pas trop...

Mais bon je peut me tromper, je ne connais pas non plus toute les facettes des MySQL...
.:[ UTB ]:. Diablo xo0 Au royaume des aveugles, les bornes sont rois...
Citer ce message
Bzh
le 29/03/2007 à 21:52
Bzh
C'est bien ce que je te dis !

S'il y a possibilité d'injecter du SQL, c'est qu'il y a un tit souci quelque part !

Maintenant, je ne vois pas comment une attaque XSS (qui si je ne me plante pas, se fait coté client puisqu'il s'agit d'injecter du javascript ) pourrait choper les passes de tes membres ! Seulement les cookies !
Citer ce message
i M@N
le 30/03/2007 à 00:24
i M@N
Hello.

les mots de passes sont hashés et cryptés -> resultat : le cracker aura plus de mal déjà ! Car il se rendra bien compte que les chaines présentes ne sont pas des hash sha-1 (sauf si ta fonction génère un string qui y ressemble), il devra donc décrypter les mots de passes avant de se lancer dans une tentative de brute force ou autre.

Si j'ai accès à ton site et à ta base, si je vois des pass cryptés je cherche le script qui crypte dans ton site avant toute chose ... mais bon ... le md5 d'un pass d'une longueur correcte (8-10 caractères chiffres et lettres) faut un sacré bout de temps pour le décrypter en brute force (un temps pas humain ou alors t'as les servers de la NASA qui travaillent pour toi).

Maintenant, je ne vois pas comment une attaque XSS (qui si je ne me plante pas, se fait coté client puisqu'il s'agit d'injecter du javascript ) pourrait choper les passes de tes membres ! Seulement les cookies !
Ben XSS : tu récupères le cookie de l'admin et tu te sers des infos pour te faire passer pour lui ... compliqué mais ça peut fonctionner.

@+...
One Love, One Heart, One Unity.
Citer ce message
raphlight
le 30/03/2007 à 08:12
raphlight
ah zut, parcequ'en plus y'a des hackeur spécialisé en crack MySQL ???
http://raphlight.free.fr/trad.php
Citer ce message
LA GLOBULE
le 30/03/2007 à 10:20
LA GLOBULE
Ben le plus simple, c'est de passer root sur la box et de chopper la base, et la, md5 ou pas, tu choppes toutes les infos que tu veux.
Citer ce message
Bzh
le 30/03/2007 à 12:22
Bzh
Oui, donc pour en revenir (le sujet n'était pas comment hacker un serveur MySql ), hacher les pass dans la bdd c'est simplement par respect pour tes membres et surement pas pour un souci de sécurité pour ton site !
Citer ce message
diablo
le 30/03/2007 à 20:12
diablo
le plus simple


Parle pour toi ;p

Mais sérieux, le hash des pass SQL est bien sur le plus souvent utilisé pour le respect des membres, mais bon un excès de sécurité n'a jamais fait de mal à personne.
.:[ UTB ]:. Diablo xo0 Au royaume des aveugles, les bornes sont rois...
Citer ce message
diablo
le 30/03/2007 à 20:15
diablo
Sorry pour double post mais je viens de me rappeler d'un truc, je me trompe peut-être mais la dernière version de MySQL n'utilise-t-elle pas un autre mode de stockages des pass ?
Je me rappel juste que dans ma config j'avais vu une ligne du genre, old-password, bon je sais pas trop si il y a un rapport avec le sujet...
.:[ UTB ]:. Diablo xo0 Au royaume des aveugles, les bornes sont rois...
Citer ce message
voldemort09
le 16/04/2007 à 17:12
voldemort09
Mais comment on fait pour trouver le mot de pass MD5 de quelqu'un sur un site a part avec les injection MySQL ?
Citer ce message
Bzh
le 16/04/2007 à 18:58
Bzh
Aucune ! À moin, et c'est une faille, qu'à un moment ou un autre, tu sors et affiche quelque part le md5 du mot de passe !
Répondre

Ecrire un message

Votre message vient d'être créé avec succès.
LoadingChargement en cours