很多**儲存密碼的方式是把密碼進行雜湊化之後,然後儲存進資料庫。網上也一直再說雜湊化的密碼是無法破解的,確實按照雜湊的原理肯定無法破解的。
因為雜湊本來就不是加密,只是把文字進行了特殊的處理。
聽說雜湊之後,即使密碼被獲得了,使用者賬戶也不會被破解,這是真的嗎?難道對密碼進行雜湊就真的那麼安全嗎?
最近在研究微軟的企業庫,企業庫提供了幾種加密演算法,其中有一種就有雜湊演算法。於是懷著對雜湊之後密碼無法破解的極度安全的崇敬之情,使用了雜湊演算法
作為使用者密碼的加密方式。
實驗了幾個使用者名稱和密碼之後,發現資料庫中的密碼確實都被雜湊化了,那樣的密碼確實不好破解,於是就打算一直使用雜湊演算法。
無意中,我在資料庫中把a使用者的經過雜湊的密碼複製到b使用者的密碼欄位上,然後我在頁面登陸框中輸入b使用者的使用者名稱以及a使用者的密碼,發現登陸成功。
由這點我想到,如果乙個系統使用雜湊演算法對密碼進行加密,這是不是一中破解的方法呢。
步驟如下:
1、首先註冊此系統的乙個使用者獲得使用者名稱和自己的密碼,系統的資料庫中存的是你註冊的使用者名稱的密碼,而且是經過雜湊的。
2、好多系統在使用者註冊之前會對使用者名稱進行檢測,看看使用者名稱是否可用,在此可通過此法獲得其他人的使用者名稱,或者你已經知道了乙個你想破解的使用者名稱。
3、這一步比較複雜,需要很高深的知識,或者你慶幸這個系統中存在一定的sql注入漏洞,或者你已經獲得了這個系統的資料庫(其實關鍵在這一步,不過
這一步也很難去實現。
)4、通過sql語句把你想要破解的使用者的密碼更新為你註冊的使用者的密碼。
5、進入登陸頁面,輸入你破解的使用者的使用者名稱和你的使用者名稱的密碼,不出問題,應該可以以那個賬號進入系統了。
如果你要想使用此方法進行破解,你首先的能在系統的資料庫上執行你的sql語句,這一點對待大多數的系統還是比較難的,不過如果對待能進入資料庫的人員想破解,那就沒辦法了。
以上只是在使用雜湊演算法進行加密的時候的一點小小的遐想,大家不要妄自推測,不過還是提醒大家即使加密了,也要小心啊。
如果純粹的使用hash演算法進行加密,如果真遇到以上情況,系統還是很危險的,有沒有好的加密方法呢,那位能告知一下啊。
逼自己一把,你就優秀了
1 乙個人,如果你不逼自己一把,你根本不知道自己有多優秀。2 賺錢是一種能力,花錢是一種水平,能力可以練,水平是輕易練不出來的。3 年輕人不可以太狂。4 乙個人的知識,通過學習可以得到 乙個人的成長,必須通過磨練。5 這個世界上好書很多,可以改變命運的書很少。6 這個世界上朋友很多,可以用一生託付的...
密碼雜湊安全
hash,一般翻譯做 雜湊 也有直接音譯為 雜湊 的,就是把任意長度的輸入 又叫做預對映 通過雜湊演算法,變換成固定長度的輸出,該輸出就是雜湊值。通過對密碼進行雜湊處理,然後再儲存到資料庫中,這樣就使得攻擊者無法直接獲取原始密碼,同時還可以保證你的應用可以對原始密碼進行相同的雜湊處理,然後比對雜湊結...
忘記密碼了
ctf很狗。我所看到的解體思路,只是乙個答案。搞不懂大牛的操作。題目 根據原始碼得到兩個資訊 乙個管理員郵箱乙個vim。傳送到管理員的是看不到,但是別的可以。然後聯想到剛才的vim 在vim不正常退出的情況下就會產生乙個swp檔案。那麼這個會不會是這樣呢?作為php菜雞看到php還是挺親切的。得出正...