❓ Как узнать, хранятся ли пароли в базе в открытом виде
Это один из самых тревожных и, увы, до сих пор реальных сценариев: ты нашёл базу данных и хочешь понять, насколько безответственно там обращаются с паролями. Вот как быстро это проверить.
Шаги:
1️⃣ Получи дамп базы данных Если ты на этапе баг-баунти — это может быть через SQL-инъекцию или доступ к резервным копиям. Мы не поощряем взлом — только разрешённое тестирование.
2️⃣ Найди таблицу с пользователями
Обычно: users, accounts, members, login, auth.
3️⃣ Посмотри, как выглядят пароли
📍 Если поле password содержит строки типа 123456, admin, qwerty — это plaintext.
📍 Если строки длинные, с миксом символов, возможно это хеши (например, bcrypt, MD5, SHA-1).
4️⃣ Протестируй предположения:
📍 Сравни хеши с публичными словарями через CrackStation.
📍 Или используй hashid / hash-identifier для определения типа хеша.
📍 Для брутфорса попробуй John the Ripper или Hashcat.
5️⃣ Проверь наличие соли Если у всех пользователей одинаковый пароль, но хеши разные — скорее всего, применяется соль. Это хорошо. Если хеши совпадают — соль не используется. Это плохо.
❗️ Что не стоит делать:
— Не публикуй реальные дампы или пароли — это нарушение этики и закона.
— Не используй полученные данные за пределами согласованных условий пентеста.
❓ Как узнать, хранятся ли пароли в базе в открытом виде
Это один из самых тревожных и, увы, до сих пор реальных сценариев: ты нашёл базу данных и хочешь понять, насколько безответственно там обращаются с паролями. Вот как быстро это проверить.
Шаги:
1️⃣ Получи дамп базы данных Если ты на этапе баг-баунти — это может быть через SQL-инъекцию или доступ к резервным копиям. Мы не поощряем взлом — только разрешённое тестирование.
2️⃣ Найди таблицу с пользователями
Обычно: users, accounts, members, login, auth.
3️⃣ Посмотри, как выглядят пароли
📍 Если поле password содержит строки типа 123456, admin, qwerty — это plaintext.
📍 Если строки длинные, с миксом символов, возможно это хеши (например, bcrypt, MD5, SHA-1).
4️⃣ Протестируй предположения:
📍 Сравни хеши с публичными словарями через CrackStation.
📍 Или используй hashid / hash-identifier для определения типа хеша.
📍 Для брутфорса попробуй John the Ripper или Hashcat.
5️⃣ Проверь наличие соли Если у всех пользователей одинаковый пароль, но хеши разные — скорее всего, применяется соль. Это хорошо. Если хеши совпадают — соль не используется. Это плохо.
❗️ Что не стоит делать:
— Не публикуй реальные дампы или пароли — это нарушение этики и закона.
— Не используй полученные данные за пределами согласованных условий пентеста.
Mr. Durov launched Telegram in late 2013 with his brother, Nikolai, just months before he was pushed out of VK, the Russian social-media platform he founded. Mr. Durov pitched his new app—funded with the proceeds from the VK sale—less as a business than as a way for people to send messages while avoiding government surveillance and censorship.
Telegram today rolling out an update which brings with it several new features.The update also adds interactive emoji. When you send one of the select animated emoji in chat, you can now tap on it to initiate a full screen animation. The update also adds interactive emoji. When you send one of the select animated emoji in chat, you can now tap on it to initiate a full screen animation. This is then visible to you or anyone else who's also present in chat at the moment. The animations are also accompanied by vibrations. This is then visible to you or anyone else who's also present in chat at the moment. The animations are also accompanied by vibrations.
Библиотека хакера | Hacking Infosec ИБ информационная безопасность from tr
