用户名+123456,轻松写意登陆eBay日本论坛

2014-03-30 +6 225486人围观 ,发现 22 个不明物体 WEB安全资讯

eBay日本近日修复了一个安全漏洞,这个漏洞允许任何人能访问任意注册用户的论坛帐号。

eBay日本的论坛程序是phpBB,它的身份认证系统在服务端没有和网站整合起来,而是另用一套独立的系统,开发这套系统的人实现了一个硬编码的论坛密码:用户名+123456

这段认证逻辑之所以存在,是因为ebay在建立账户时会设置密码,而这个密码本该是用户名+随机数(你可以看做是salt)构成,但是eBay使用了一个静态的salt 123456(此前FreeBuf曾报道过:123456被评为2013年度最差密码),进而使得黑客可以登陆他人账号。

目前尚并不知晓eBay其他系统是否存在类似漏洞。

安全专家Taylor说:

重复使用Salt是一个非常普遍的安全问题,一旦出现这种情况,无论salt是编码或是随机生成,都是存在安全风险的,因为黑客完全可以通过hash反查获取密码。建议开发者对每个密码使用不同、足够长度并且大小一致的salt。

FreeBuf科普

我们知道,如果直接对密码进行散列,那么黑客可以对通过获得这个密码散列值,然后通过查散列值字典(例如MD5密码破解网站),得到某用户的密码。

加Salt可以一定程度上解决这一问题。所谓加Salt方法,就是加点“佐料”。其基本想法是这样的:当用户首次提供密码时(通常是注册时),由系统自动往这个密码里撒一些“佐料”,然后再散列。而当用户登录时,系统为用户提供的代码撒上同样的“佐料”,然后散列,再比较散列值,已确定密码是否正确。

这里的“佐料”被称作“Salt值”,这个值是由系统随机生成的,并且只有系统知道。这样,即便两个用户使用了同一个密码,由于系统为它们生成的salt值不同,他们的散列值也是不同的。即便黑客可以通过自己的密码和自己生成的散列值来找具有特定密码的用户,但这个几率太小了(密码和salt值都得和黑客使用的一样才行)。

[原文地址,FreeBuf编译]

这些评论亮了

发表评论

已有 22 条评论

取消
Loading...
css.php