Cookies — это небольшие текстовые файлы с информацией, приходящей Вам от интернет-сайта.
Если, находясь на странице сайта, Вы введёте в адресную строку браузера Firefox или Opera следующий текст:
javasсript:document.write(document.сооkiе);
то увидите нечто вроде:
remixAdminsBar=0; remixGroupType=0; remixpass=******************; remixwall=0; remixInformation=0; remixMembersBar=0; remixdescription=0; remixautobookmark=8; remixemail=*******; remixmid=23363; remixchk=5; remixaudios=0; remixlinksBar=1; remixOfficersBar=0; remixPhotosBar=0; remixTopicsBar=0; remixvideos=0; remixRecentNews=0; remixAlbumsBar=0
Внимание!: Не делайте этого в присутствии посторонних и не отсылайте никому результат!
Это и есть cookie (куки), в них наиболее интересны 3 параметра:
remixmid хранит Ваш id,
remixemail хранит Ваш e-mail (он же логин на сайте),
remixpass — md5-хеш от Вашего пароля.
Когда Вы загружаете любую страницу сайта, браузер отсылает на сайт Ваши куки, если находит их (таким образом сайт проверяет, что это Вы отправили запрос). Если не находит — Вы попадаете на страницу ввода логина и пароля.
КАК РАСШИФРОВАТЬ ХЭШ SHA-256, MD-5, Bcrypt! БЫСТРО И ПРОСТО!
Когда Вы нажимаете «выйти» вверху страницы, куки стираются.
Если Вы ставите галочку «Чужой компьютер» при входе на сайт, то куки стираются при закрытии браузера, даже если Вы не нажимали «выйти».
Для банальных паролей вроде qwerty и 123456 md5-хеши широко известны, а для простых вроде даты рождения злоумышленник догадается вычислить хеш и сравнить со значением из cookies.
Также в сети существуют различные md5-хэш-крэкеры например http://www.tmto.org/?category=main remixlang=0;
remixchk=5; remixautobookmark=26; remixclosed_tabs=0; lang=0;
remixmid=3538196; remixemail=example%mail.ru;
remixpass=202cb962ac59075b964b07152d234b70;
remixsid=37735c8cc21a992aba688ce1c3a36b397a376b1df46594483a8acff7;
remixgroup_closed_tabs=0″
Ввести новые значение нужно только в поля remixmid, remixemail, remixpass, remixsid (значение чужой анкеты, в какую хотите попасть)
7) Выделяете нужное поле, нажимаете кнопку справа Изменить и вписываете свое значение.
8) Если вы все сделали правильно, то когда вы зайдете на vkontakte.ru — попадете на чужую страницу.
Заходить конечно нужно через Opera
P.S.
Лучше не пытайтесь взломать Вконтакте — это грозит тюремным сроком.
Помните парня, который украл пароль своей подруги из Одноклассников? Он уже сидит.
по материалам: vkontakte.ru, aboutvk.at.ua
Источник: wormixtest.com
Авторизация в VK.COM? Или как подсолить hash?
Собственно, после авторизации, мы получаем hash.
Далее на серваке, чтобы проверить авторизацию, нужно это:
app_id+user_id+secret_key
Но получается если злоумышленник получит данный хеш, то он сможет авторизовываться на моем сайте даже если человек поменял пароль от своего акаунта на моем сайте? Так ведь? Если это так то какое есть решение?
Как узнать пароль от WiFi, ВКОНТАКТЕ и не только
- Вопрос задан более трёх лет назад
- 1157 просмотров
Комментировать
Решения вопроса 0
Ответы на вопрос 2
https://vk.com/beerdy
Решение надумал такое:
— Генерируем временный код по ДОКе контакта (одноразовый)
— Получаем его на серваке и генерируем access_token
— По этому access_token получаем данные пользователя и сомтрим кто он такой
— Авторизуем по long pool
Ответ написан более трёх лет назад
Нравится 1 2 комментария
Да это стандартный сценарий OAuth авторизации, но он плохо подходит в случае IFrame, Flash и Standalone приложений и игр (в вопросе не было указано для чего авторизация), для этих целей есть серверный метод secure.checkToken, позволяющий проверить уже существующий и переданный приложению токен. Чтобы вызвать этот метод необходимо чтобы сервер получил свой token.
Так у меня по ЛонгПулу авторизация приходи, там хоть вообще на др. компе ссылку открывай, авторизация пройдет у того чей guid был послан. Ат так то да — неудобно т.к. приложение свернется и откроется браузер по дефолту. но он тут же закроется
А за secure.checkToken — спасибо)
Да так, решения:
1. всю информацию передавать по защищенному соединению клиент-сервер,
2. проверять access_token, для уменьшения запросов к апи вк, после успешной проверки access_token, сохранять его в аккаунте пользователя у себя на сервере, при последующих зарпосах сравнивать то что сохранили с тем что прислал пользователь.
Но тема компроментации данных на стороне клиента не должна решаться разработчиком, это забота пользователя.
Ответ написан более трёх лет назад
Спасибо за ответ
Ваш ответ на вопрос
Войдите, чтобы написать ответ
- Боты
- +1 ещё
Как сделать переадресацию сообщения из одного чата группы в другой на Python?
- 1 подписчик
- 5 часов назад
- 133 просмотра
Источник: qna.habr.com
Где хранятся пароли и что такое хеширование
Это и так все знают. Пользы от этой информации и нет, так как данные здесь зашифрованные. Точнее сами пароли зашифрованы. Интереснее, как именно, какой способ шифрования применяется и можно ли его взломать.
В этой статье я попыталась максимально просто описать принцип хеширования и сколько времени и сил понадобится хакерам, чтобы взломать пароль от ВК.
Хеширование или ваши пароли невозможно взломать, но это неточно
Для защиты конфиденциальных данных, в частности, ВАШИХ паролей в социальных сетях применяется способ защиты — хеш-функция. Это математическая функция, которая на вход принимает любое значение, произвольного размера и длинны, а на выходе получается всегда фиксированная сумма.
Например, пароль — 12345 имеет хеш:
Или пароль посложнее — ngTyhvv5Ghb5n6 :
И там и там хеш имеет сумму в 32 символа, хотя сами пароли разной длинны.
Основное качество хеширования, это необратимость — имея на руках хеш провернуть процесс назад, то есть расшифровать пароль, нельзя!
Однако, если злоумышленник каким-то образом получил доступ к хешам из базы данных какого-то сайта, несложно подобрать часто используемые пароли из открытых библиотек. 5 минут и вас взломали.
А теперь сложнее
При регистрации в социальной сети у нас есть какое-то ограничение. Пароль может быть от 8 до 20 символов, и состоять должен из латинских букв верхнего и нижнего регистра и цифр.
В латинском алфавите 26 букв в нижнем регистре. Плюс столько же для верхнего регистра и ещё плюс 10 цифр. В итоге получается 62 символа.
При таком раскладе можно легко посчитать, сколько получится возможных комбинаций паролей из 10 символов. Используя простейшую формулу из комбинаторики 62X^10, получаем:
— 839 299 365 868 340 224
Вот столько комбинаций программе нужно будет перебрать.
А теперь по времени:
На примере процессора Intel Core i3, который условно может делать 210 000 переборов в секунду и программки для подбора (можно написать самому — эта задача реализовывается легко на любом языке программирования в несколько строк кода, или найти в сети) нетрудно посчитать, сколько понадобится времени взломщику, чтобы подобрать нужный пароль.
- секунды — 839 299 365 868 340 224 / 210000 = 3 996 663 646 992,096
- часы — 3 996 663 646 992,096 / 3600 = 1 110 184 346,38
- сутки — 1 110 184 346,38 / 24 = 46 257 681,09
- годы — 46 257 681,09 / 365 = 126 733,37
Из этой простой математики мы видим, что способ перебора (брутфорс) требует невменяемого количества времени. Конечно, при условии использования обычного домашнего ПК. С мощностями намного больше, времени будет затрачено меньше, но даже супер компьютер будет обрабатывать все эти комбинации очень долго. Это по времени экономически невыгодно.
Другой способ перебора паролей с разницей, что все хеши записываются в базу данных. Сохранения такого количества хешей требует много места. Тут тоже можно посчитать — хеш-функция MD5 возвращает 128 бит информации, это 16 байт.
Умножаем количество паролей (хешей) — 839 299 365 868 340 224 на 16 байт и получаем 13428,78 Петаба́йт (ПБ, ПБайт) 10 в 15 степени (квадриллион) байт. Здесь злоумышленники просто в хлам проигрывают в объёмах требуемого хранилища.
Приходим к логическому выводу. В идеальных условиях взломать пароль от ВК невозможно. На это потребуется тысячи или даже миллионы лет и нереальные вычислительные мощности. Но статистика говорит об обратном — социальные сети постоянно взламывают. Вопрос, КАК?
Забыла упомянуть, радужные таблицы, способы защиты типа соли и прочие интересности я опишу в следующих статьях, следите за новостями.
И конечно же подписывайтесь на мой канал и ставьте пальчик вверх.
Источник: dzen.ru