Author Topic: Einbruch in fremde 4Images Installation (Passwort Hash bekannt)  (Read 21403 times)

0 Members and 1 Guest are viewing this topic.

Offline x23piracy

  • Sr. Member
  • ****
  • Posts: 420
    • View Profile
    • FHG
Hi,

ich habe mich hier vor Wochen schonmal über die verwendung von MD5 als Hash beschwert. (Siehe auch meine Signatur)
Auf meinem Server habe ich sämtliche User Cookies geloggt die mich besuchen.
(Sofern Cookies aktiv sind hat jeder Server den ihr besucht vollen Cookie zugriff). Alle Cookies!

Ich habe dann alle Hashes auf den bekannte MD5 Seiten gecheckt und bei einem ein
Passwort erhalten. Ich hatte vollen Admin Zugriff auf die fremde 4I Installtion und hätte
die Seite lahmlegen können oder andere böse Dinge anstellen.

Den Seiteninhaber habe ich informiert und das Passwort wurde geändert.

Wann wacht ihr mal auf und stellt auf SHA-1 um, es gibt immer noch "dumme" User die
Wörterbuch Passwörter wählen.

Und hier zieht die Aussage das der User dann selbst schuld ist mal so garnicht, solche Leute
muss man schützen indem man die aktuell sichere Technologie anbietet.

Bei meinem Versuch stand die machbarkeit im Fordergrund, es gab nicht einen Gedanken
tatsächlich Schaden anzurichten!...


Passiert hier mal was? Aufwachen...!


Gruß X23
« Last Edit: March 24, 2011, 10:52:15 AM by x23piracy »

Don't trust in md5 it's unsafe change your 4i galerys password hash algorythm! second pw db field, create new hashes over some time, deny old hash. Help members that cry, send informationen mail to the rest. Camouflage new pw hash in cookie. Done!

--(◔̯◔)--

Offline qBass17

  • Addicted member
  • ******
  • Posts: 1.800
  • I ♥ 4I
    • View Profile
Re: Einbruch in fremde 4Images Installation (Passwort Hash bekannt)
« Reply #1 on: March 22, 2011, 10:04:29 PM »
Da gebe ich dir auch Recht.
Es reicht auch wenn das Passwort wie beim WBB "Salted" wird.
Oder der MD5 Hack mit einem Sha-1 Salted wird.

Da muss man halt mal WBB kontaktieren. Sogar Wordpress ist mit salted geschützt.

Offline x23piracy

  • Sr. Member
  • ****
  • Posts: 420
    • View Profile
    • FHG
Re: Einbruch in fremde 4Images Installation (Passwort Hash bekannt)
« Reply #2 on: March 23, 2011, 06:16:11 PM »
Hi,

mir ist das mitlerweile Latte es meldet sich ja nichtmal einer der Gurus.
Traurig....


Gruß X23

Don't trust in md5 it's unsafe change your 4i galerys password hash algorythm! second pw db field, create new hashes over some time, deny old hash. Help members that cry, send informationen mail to the rest. Camouflage new pw hash in cookie. Done!

--(◔̯◔)--

Offline Jan-Lukas

  • Addicted member
  • ******
  • Posts: 1.289
    • View Profile
    • Discover the New World of Kindersurprise
Re: Einbruch in fremde 4Images Installation (Passwort Hash bekannt)
« Reply #3 on: March 23, 2011, 09:41:35 PM »
Warum sollte sich jemand bei dir melden ?
Möglich das es schon in einer neuen Version übernommen wurde (wird), nur was hat das mit euch zu tun *grübel*, glaube das schaffen die auch alleine.
Danke Harald




Offline x23piracy

  • Sr. Member
  • ****
  • Posts: 420
    • View Profile
    • FHG
Re: Einbruch in fremde 4Images Installation (Passwort Hash bekannt)
« Reply #4 on: March 23, 2011, 09:45:17 PM »
Hi,

es geht um ne Grundäußerung zu dem Problem alter knötterpitter!


Gruß X23

Don't trust in md5 it's unsafe change your 4i galerys password hash algorythm! second pw db field, create new hashes over some time, deny old hash. Help members that cry, send informationen mail to the rest. Camouflage new pw hash in cookie. Done!

--(◔̯◔)--

Offline qBass17

  • Addicted member
  • ******
  • Posts: 1.800
  • I ♥ 4I
    • View Profile
Re: Einbruch in fremde 4Images Installation (Passwort Hash bekannt)
« Reply #5 on: March 23, 2011, 09:46:02 PM »
Es geht lediglich darum, dass dieses Thema schon angesprochen wurde. Und darum die User zu schützen :!:

Offline x23piracy

  • Sr. Member
  • ****
  • Posts: 420
    • View Profile
    • FHG
Re: Einbruch in fremde 4Images Installation (Passwort Hash bekannt)
« Reply #6 on: March 23, 2011, 09:50:04 PM »
Hi,

das ist hier eher nebensache hauptsache irgendjemand kauft Lizenzen....
Vielleicht sollte mal einer maulen der eine besitzt vielleicht bekommt der gehör...




Gruß X23

Don't trust in md5 it's unsafe change your 4i galerys password hash algorythm! second pw db field, create new hashes over some time, deny old hash. Help members that cry, send informationen mail to the rest. Camouflage new pw hash in cookie. Done!

--(◔̯◔)--

Offline qBass17

  • Addicted member
  • ******
  • Posts: 1.800
  • I ♥ 4I
    • View Profile
Re: Einbruch in fremde 4Images Installation (Passwort Hash bekannt)
« Reply #7 on: May 05, 2011, 08:26:23 PM »
Offenbar wurde da etwas gemacht.
In der register.php kann man folgenden Eintrag nun finden:
$user_password_hashed salted_hash($user_password);
Und das war vorher nicht

Warum denn so heimlich? Ist doch gut!!

 :thumbup: :thumbup: :thumbup: :thumbup:

Rembrandt

  • Guest
Re: Einbruch in fremde 4Images Installation (Passwort Hash bekannt)
« Reply #8 on: May 05, 2011, 08:34:13 PM »
Offenbar wurde da etwas gemacht.
....
Warum denn so heimlich? Ist doch gut!!
...
etwas is gut, deswegen und wegen einiger anderer sicherheitsupdates wurde so einiges in der galerie geändert.
warte auf das update dann wirst du sehn was ich meine.

und heimlich es doch auch nicht:
http://www.4homepages.de/forum/index.php?topic=29541.msg157184#msg157184
steh hier drinnen.

mfg Andi

Offline x23piracy

  • Sr. Member
  • ****
  • Posts: 420
    • View Profile
    • FHG
Re: Einbruch in fremde 4Images Installation (Passwort Hash bekannt)
« Reply #9 on: May 05, 2011, 08:37:13 PM »
Hi,

Ist ja nicht unpeinlich ;)
Außerdem gibt's ja die Release notes....


Gruß X23
« Last Edit: May 05, 2011, 11:18:45 PM by x23piracy »

Don't trust in md5 it's unsafe change your 4i galerys password hash algorythm! second pw db field, create new hashes over some time, deny old hash. Help members that cry, send informationen mail to the rest. Camouflage new pw hash in cookie. Done!

--(◔̯◔)--

Offline qBass17

  • Addicted member
  • ******
  • Posts: 1.800
  • I ♥ 4I
    • View Profile
Re: Einbruch in fremde 4Images Installation (Passwort Hash bekannt)
« Reply #10 on: May 05, 2011, 08:44:10 PM »
Ok, dass habe ich wohl überlesen!!
Endlich wird das was mit der Gallerie.

Offline x23piracy

  • Sr. Member
  • ****
  • Posts: 420
    • View Profile
    • FHG
Re: Einbruch in fremde 4Images Installation (Passwort Hash bekannt)
« Reply #11 on: May 05, 2011, 11:38:46 PM »
Hi,

ich gieß nochmal Öl ins Feuer...
Wenn ich da an ältere Lücken denke gab es zwischenzeitlich immer patches,
wieso gab es hier sowas nicht? Oder ist der salted Hash quasi 5 Minuten vor Abgabe
mit in das Update gewandert?


Gruß X23

Don't trust in md5 it's unsafe change your 4i galerys password hash algorythm! second pw db field, create new hashes over some time, deny old hash. Help members that cry, send informationen mail to the rest. Camouflage new pw hash in cookie. Done!

--(◔̯◔)--

Offline Crazymodder

  • Jr. Member
  • **
  • Posts: 57
    • View Profile
Re: Einbruch in fremde 4Images Installation (Passwort Hash bekannt)
« Reply #12 on: June 02, 2011, 07:17:28 PM »
Also zwar bietet die neue Version jetzt zwar die sichere Methode aber in meiner alten Datanbank stehen ja noch alte hashwerte von den Benutzern die sich zuvor (alte Version) registriert haben. Gibt es eine Möglichkeit diese Passwörter zu aktualisieren oder müsste sich dafür jeder User einloggen und sein Passwort über das Kontrollcenter ändern?

mfg.
Crazymodder