Публикации с етикет ‘MD5’

юни 07, 2010   Jordan   Трикове
4

Криптиране на пароли за потребителска оторизация

Доста често разработчиците на софтуер си задават въпроса: „В какъв вид е най-добре да бъде запазена една парола в базата с данни?“ Повечето програмисти се спират на варианта с най-обикновенно MD5 криптиране, което между другото върши работа, но когато става дума за по-големи системи, където не трябва да се прави компромис с качеството, това не е достатъчно. В много от случаите MD5 хешовете могат лесно да бъдат разбити с помощтта на големи бази данни от MD5 хешове. Поради тази причина софтуерните продукти с отворен код все по-често започват да използват по-сложни варианти за криптиране на паролите. Разбира се, не трябва да се прекалява със сигурността, защото това би могло да окаже влияние на цялостната съвместимост на продукта.

Добро решение на проблема е паролите да се пазят в базата с данни в криптиран вид, заедно с добавена сол. Солта представлява определен набор от символи, които се добавят към паролата, след което паролата бива криптирана заедно с тях. По този начин възможността да бъде декриптирана паролата с използване на хакерски бази данни се свежда до нулева. Единствения вариант за нейното разбиване е да бъде направена BruteForce атака (брутална сила), когато всички възможни комбинации се проверяват и се прави сравнение между паролата в базата и генерирания хеш. Но в този случай хакерите трябва да знаят солта и хеша, също така паролата трябва да бъде примитивна.

Да си представим в момента цялостна система за оторизиране на потребители, без значение на какъв език за програмиране е писана тя (PHP, Python, Java). След регистрация, към паролата на потребителя се добавя случаен набор от символи, които се записват в отделно поле в таблицата. Паролата и солта се запазват заедно в криптиран вид (MD5, SHA1 и т. н.) За да бъде проверено, дали въведената парола от даден потребител съответства на тази, създадена при регистрацията, скрипта прави следната проверка. Взима от полета на таблицата солта, добавя я към въведената парола, криптира двете и сравнява двата хеша. Системата работи, и в същото време е достатъчно сигурна. Постигнахме точно това, което търсихме.

Разбира се, сигурността на една система не зависи само от това в какив вид се пазят паролите. За изграждането осигуряването на сигурността на Вашите системи, можете да използвате услугите на фирма Zapprotect.

Прочети повече
юни 06, 2010   Jordan   Атаки
0

Какво представляват SQL инжекциите?

Има много начини една система да бъде пробита. Когато става дума за уеб базиран софтуер, това най-често става със SQL инжекции. Това е най-разпространения начин за атакуване на уеб сайт. В тази публикация накратко ще обясним какво точно представляват SQL инжекциите и какви са вариантите те да бъдат затворени.

SQL инжекциите са уязвимости с начина на обработка на заявките към SQL сървъра. Обикновенно бива подаван параметър, който освен информацията с ключа за конкретен запис, съдържа и допълнителен код. По този начин хакерите могат да извличат информация от Вашата база данни. Това могат да бъдат имейл адреси, които след това се използват за спам цели, администраторски профили и друга конфиденциална информация. Сега вече, надявам се, разбирате защо е важно да бъдат използвани силни пароли. Те се пазят в базата с данни в криптиран вид. Лесно се разбиват (посредством Bruteforce и MD5 Hash databases) лесните пароли. Обикновенно сложните не могат да бъдат декриптирани. Всеки един програмен език е уязвим към SQL инжекции. Обикновенно те се срещат при PHP, Perl, ASP.NET.

Решението е да се използват отделни функции, които проверяват параметрите, които се подават при изпълняване на заявка. Под PHP може да се използва mysql_real_escape_string() функцията. Друга нещо, което може да помогне е използването на променливи, съдържащи строго определен вид данни. Например, само числа, или само текст. Когато става дума за текст, той трябва да бъде много внимателно филтриран преди подаването му в SQL заявката. Това ще обезпечи нейното безпроблемно изпълнение и невъзможността да бъде пробита.

SQL инжекциите, като стар, но все още доста често срещан начин за атакуване на уеб сайтове, не трябва да бъдат подценявани. Огромно количество сайтове (дори правителствени) са уязвими към този вид атаки. Фирма Zapprotect би се заела с откриването на такива уязвимости на Вашия сайт и с тяхното затваряне. По този начин, Вие ще обезпечите конфиденциалността на информацията си и нейната цялостност.

Прочети повече

  • Бъдете информирани

    RSS Feed Следете ни в Twitter
  • Славчо Хаджийски: Аз не съм толкова в час с нещата, в които се ровя ... »
  • DIDEXS: Това е доста полезно точно това ми трябваше за да ... »
  • Делян: Атанасе моля те хващай мотиката и стига писа глупо... »
  • Делян: Сара ще да е изхвърчала от Сони като тапа от задни... »
  • Делян: За домашни потребители, които нямат чуствителна ин... »