Comments on: Gardianul.ro, full access din cauza unui SQL Injection

By: bb

bb — Fri, 24 Jul 2009 00:53:36 +0000

cacatul ala de site foloseste rainbow tables .
md5 nu poate fi decryptat.

By: catalin

catalin — Mon, 27 Apr 2009 06:10:25 +0000

Atata timp cat unele parole md5 pot fi decriptate prin brute force attack, aia nu e o solutie !! Vezi site-ul urmator: http://tools.benramsey.com/md5/

Cea mai puternica metoda de criptare ramane implementarea unui algoritm de criptare cu cheie publica; recomandat 3DES pt ca foloseste o cheie de criptare pe 24 de biti care o imparte in 3 chei de 8 biti. Mai recomand: DES, AES, Blowfish ca si algoritmi de criptare.

By: crs12decoder

crs12decoder — Sun, 02 Nov 2008 20:25:16 +0000

lol… din cate am observat din ultima poza facuta in phpmyadmin imi dau seama dupa length ca parolele nici macar nu’s criptate in md5… wtf…. gardianul.ro nu are nici macar criptare in md5?… site-u asta a fost facut de copii de 10 ani?

By: Bogdan S

Bogdan S — Fri, 31 Oct 2008 19:54:56 +0000

sunteti o foarte buna unealta de testing ) tot respectu’

By: Tinu Coman

Tinu Coman — Fri, 31 Oct 2008 16:11:15 +0000

@darkyndy & @Tocsixu Aveti dreptate. Nu ar fi trebuit sa ma bazez pe acele setari mai ales cum incepand cu php6 e deprecated, dar s-a intamplat ca pe serverul initial sa fie on si nu am mai adaugat mysql_real_escape_string(stripslashes(‘valori’)) pentru a nu face acelasi proces de mai multe ori. Multumesc pentru mailul de warning cu cateva zile inainte de postarea informatiei pt a avea timp sa rezolvam.

@crow.ro – nu a fost o zi atat de nefericita. Intr-o juma de ora a fost rezolvata problema

By: Shocker

Shocker — Fri, 31 Oct 2008 15:26:07 +0000

Vlad, realizarea e de vina. Nu te poti baza pe faptul ca o sa iti faca modulele de apache toata treaba cu securitatea.

By: darkyndy

darkyndy — Fri, 31 Oct 2008 15:01:24 +0000

@Vlad si tu ca firma lasi acest risc la o setare de apache, sau te asiguri ca orice setare vei avea nu vei avea astfel de probleme?! (intrebare retorica)

By: Vlad

Vlad — Fri, 31 Oct 2008 14:36:56 +0000

Nu realizarea a fost de vina ci simplul motiv ca la schimbarea site-ului pe un nou server, nu a fost activat in php.ini “magic quotes”, asta ducand la vulnerabilitatile descoperite de voi.

By: Update la zi

Update la zi — Fri, 31 Oct 2008 08:46:58 +0000

[...] Arhi ne povesteşte despre: Perverşii din autobuze. Gardianul.ro, full access din cauza unui SQL Injection [...]

By: dAImon

dAImon — Fri, 31 Oct 2008 07:33:25 +0000

sec.
asta se intampla cand bagi banii dar nu faci si un audit de securitate dupa.