[Moscow.pm] Как пароли находят?
Павел Тимонин
gg.error на gmail.com
Вт Июн 10 01:24:11 PDT 2008
на страничке, указанной в сабже, пароли либо однорегистровые, либо простые
как 3р. (некоторые - со "сложной" частью длиной <=7 символов); ни одного
хорошего контрбрутового пароля я там не видел.
Кстати, насколько я понял, на Беоне нельзя, украв сессию, ни узнать текущий
> пароль, ни
> сменить его на новый. Там всё грамотно.
>
да, нельзя. но перехватить хеш можно, а для инъекции этого достаточно (чтоб
написать от чужого имени). чтоб сменить пароль -- мало, хотя дыра под
инъекцию может быть и в системе смены пароля.
----------- следущая часть -----------
Вложение в формате HTML было извлечено…
URL: http://mail.pm.org/pipermail/moscow-pm/attachments/20080610/3b323c05/attachment-0001.html
Подробная информация о списке рассылки Moscow-pm