Библиотека хакера | Hacking, Infosec, ИБ, информационная безопасность

❓ Как узнать, хранятся ли пароли в базе в открытом виде

Это один из самых тревожных и, увы, до сих пор реальных сценариев: ты нашёл базу данных и хочешь понять, насколько безответственно там обращаются с паролями. Вот как быстро это проверить.

Шаги:

1️⃣ Получи дамп базы данных

Если ты на этапе баг-баунти — это может быть через SQL-инъекцию или доступ к резервным копиям. Мы не поощряем взлом — только разрешённое тестирование.

2️⃣ Найди таблицу с пользователями

Обычно: users, accounts, members, login, auth.

3️⃣ Посмотри, как выглядят пароли

📍 Если поле password содержит строки типа 123456, admin, qwerty — это plaintext.

📍 Если строки длинные, с миксом символов, возможно это хеши (например, bcrypt, MD5, SHA-1).

4️⃣ Протестируй предположения:

📍 Сравни хеши с публичными словарями через CrackStation.

📍 Или используй hashid / hash-identifier для определения типа хеша.

📍 Для брутфорса попробуй John the Ripper или Hashcat.

5️⃣ Проверь наличие соли

Если у всех пользователей одинаковый пароль, но хеши разные — скорее всего, применяется соль. Это хорошо. Если хеши совпадают — соль не используется. Это плохо.

❗️ Что не стоит делать:

— Не публикуй реальные дампы или пароли — это нарушение этики и закона.

— Не используй полученные данные за пределами согласованных условий пентеста.

🐸 Библиотека хакера

#буст

Please open Telegram to view this post

VIEW IN TELEGRAM

www.tg-me.com/us/Библиотека хакера | Hacking Infosec ИБ информационная безопасность/com.hackproglib/4105

1.2K viewsMay 1 at 07:00

❓ Как узнать, хранятся ли пароли в базе в открытом виде

Это один из самых тревожных и, увы, до сих пор реальных сценариев: ты нашёл базу данных и хочешь понять, насколько безответственно там обращаются с паролями. Вот как быстро это проверить.

Шаги:

1️⃣ Получи дамп базы данных

Если ты на этапе баг-баунти — это может быть через SQL-инъекцию или доступ к резервным копиям. Мы не поощряем взлом — только разрешённое тестирование.

2️⃣ Найди таблицу с пользователями

Обычно: users, accounts, members, login, auth.

3️⃣ Посмотри, как выглядят пароли

📍 Если поле password содержит строки типа 123456, admin, qwerty — это plaintext.

📍 Если строки длинные, с миксом символов, возможно это хеши (например, bcrypt, MD5, SHA-1).

4️⃣ Протестируй предположения:

📍 Сравни хеши с публичными словарями через CrackStation.

📍 Или используй hashid / hash-identifier для определения типа хеша.

📍 Для брутфорса попробуй John the Ripper или Hashcat.

5️⃣ Проверь наличие соли

Если у всех пользователей одинаковый пароль, но хеши разные — скорее всего, применяется соль. Это хорошо. Если хеши совпадают — соль не используется. Это плохо.

❗️ Что не стоит делать:

— Не публикуй реальные дампы или пароли — это нарушение этики и закона.

— Не используй полученные данные за пределами согласованных условий пентеста.

🐸 Библиотека хакера

#буст