ФорумРазработкаЗащита информации → Хозяйке на заметку: md5(time())

Хозяйке на заметку: md5(time())

  • master

    Сообщения: 3236 Репутация: N Группа: Джедаи

    Spritz 25 февраля 2015 г. 9:20

    Как объясняют исследователи из Sucuri, в плагине есть секретный ключ для подписи данных, которые передаются клиенту и от него. Оказалось, что при генерации ключа в качестве «случайного» значения используется время установки плагина (timestamp).



    secret => md5(time());



    Очевидно, что это совсем не «случайное» значение и его не слишком сложно подобрать. С помощью архивных копий сайта (например, в Internet Archive) можно узнать год запуска сайта, после чего остаётся всего около 30 млн возможных комбинаций «случайного» значения, то есть 10 минут работы на современном CPU.

    https://xakep.ru/2015/02/25/wp-slimstat/
    не всё полезно, что в swap полезло
  • phpdude

    Сообщения: 26615 Репутация: N Группа: в ухо

    Spritz 25 февраля 2015 г. 9:42, спустя 22 минуты 4 секунды

    лошары как всегда чо.

    это. ты бы подписал что это ворпресс облошались, а то непонятно

    Сапожник без сапог
  • master

    Сообщения: 3236 Репутация: N Группа: Джедаи

    Spritz 25 февраля 2015 г. 9:53, спустя 10 минут 54 секунды

    @phpdude, уже не могу редактировать пост.
    да и дело не в вордпрессе, а в небезопасности самого подхода md5(time())
    не всё полезно, что в swap полезло
  • phpdude

    Сообщения: 26615 Репутация: N Группа: в ухо

    Spritz 25 февраля 2015 г. 10:23, спустя 29 минут 42 секунды

    было бы microtime(1) и проблемы бы не было уже....

    Сапожник без сапог
  • adw0rd

    Сообщения: 22902 Репутация: N Группа: в ухо

    Spritz 25 февраля 2015 г. 10:29, спустя 6 минут 36 секунд

    Да, прикольно, рандомной соли на них нет

    adw/0

Пожалуйста, авторизуйтесь, чтобы написать комментарий!