❓ Как узнать, хранятся ли пароли в базе в открытом виде
Это один из самых тревожных и, увы, до сих пор реальных сценариев: ты нашёл базу данных и хочешь понять, насколько безответственно там обращаются с паролями. Вот как быстро это проверить.
Шаги:
1️⃣ Получи дамп базы данных Если ты на этапе баг-баунти — это может быть через SQL-инъекцию или доступ к резервным копиям. Мы не поощряем взлом — только разрешённое тестирование.
2️⃣ Найди таблицу с пользователями
Обычно: users, accounts, members, login, auth.
3️⃣ Посмотри, как выглядят пароли
📍 Если поле password содержит строки типа 123456, admin, qwerty — это plaintext.
📍 Если строки длинные, с миксом символов, возможно это хеши (например, bcrypt, MD5, SHA-1).
4️⃣ Протестируй предположения:
📍 Сравни хеши с публичными словарями через CrackStation.
📍 Или используй hashid / hash-identifier для определения типа хеша.
📍 Для брутфорса попробуй John the Ripper или Hashcat.
5️⃣ Проверь наличие соли Если у всех пользователей одинаковый пароль, но хеши разные — скорее всего, применяется соль. Это хорошо. Если хеши совпадают — соль не используется. Это плохо.
❗️ Что не стоит делать:
— Не публикуй реальные дампы или пароли — это нарушение этики и закона.
— Не используй полученные данные за пределами согласованных условий пентеста.
❓ Как узнать, хранятся ли пароли в базе в открытом виде
Это один из самых тревожных и, увы, до сих пор реальных сценариев: ты нашёл базу данных и хочешь понять, насколько безответственно там обращаются с паролями. Вот как быстро это проверить.
Шаги:
1️⃣ Получи дамп базы данных Если ты на этапе баг-баунти — это может быть через SQL-инъекцию или доступ к резервным копиям. Мы не поощряем взлом — только разрешённое тестирование.
2️⃣ Найди таблицу с пользователями
Обычно: users, accounts, members, login, auth.
3️⃣ Посмотри, как выглядят пароли
📍 Если поле password содержит строки типа 123456, admin, qwerty — это plaintext.
📍 Если строки длинные, с миксом символов, возможно это хеши (например, bcrypt, MD5, SHA-1).
4️⃣ Протестируй предположения:
📍 Сравни хеши с публичными словарями через CrackStation.
📍 Или используй hashid / hash-identifier для определения типа хеша.
📍 Для брутфорса попробуй John the Ripper или Hashcat.
5️⃣ Проверь наличие соли Если у всех пользователей одинаковый пароль, но хеши разные — скорее всего, применяется соль. Это хорошо. Если хеши совпадают — соль не используется. Это плохо.
❗️ Что не стоит делать:
— Не публикуй реальные дампы или пароли — это нарушение этики и закона.
— Не используй полученные данные за пределами согласованных условий пентеста.
Telegram auto-delete message, expiring invites, and more
elegram is updating its messaging app with options for auto-deleting messages, expiring invite links, and new unlimited groups, the company shared in a blog post. Much like Signal, Telegram received a burst of new users in the confusion over WhatsApp’s privacy policy and now the company is adopting features that were already part of its competitors’ apps, features which offer more security and privacy. Auto-deleting messages were already possible in Telegram’s encrypted Secret Chats, but this new update for iOS and Android adds the option to make messages disappear in any kind of chat. Auto-delete can be enabled inside of chats, and set to delete either 24 hours or seven days after messages are sent. Auto-delete won’t remove every message though; if a message was sent before the feature was turned on, it’ll stick around. Telegram’s competitors have had similar features: WhatsApp introduced a feature in 2020 and Signal has had disappearing messages since at least 2016.
Библиотека хакера | Hacking Infosec ИБ информационная безопасность from kr
