BugUser-Angriff
- Ersteller DasGuru
- Erstellt am
Aus Erfahrung kann ich dir sagen, dass ca. 70% aller Passwörter, die mit MD5 ohne Salt verschlüsselt sind, geknackt werden können, ohne großen zeitlichen Aufwand (getestet an DBs mit mehreren tausend Hashes).
Wie das nun der Doppel-Account-Erkennung dienen soll ist mir allerdings schleierhaft, bei vielen Usern kommt es halt mal vor, dass das gleiche Passwort verwendet wird.
Wie das nun der Doppel-Account-Erkennung dienen soll ist mir allerdings schleierhaft, bei vielen Usern kommt es halt mal vor, dass das gleiche Passwort verwendet wird.
DasGuru
ist maskulin
- 16 August 2008
- 1.899
- 144
es ist nicht nur das
es werden Doppelte-IPs angezeigt
man kann sehen ob die User sich gegenseiteig geworben haben und dient einfach als Indiz unter weiteren Gesichtspunkten und Grundlagen wie interne Buchnungen ect.
Bei Eukalyptusbär und seinen 2 anderen Accounts lag ich ja auch richtig. Leider hab ich es dort zu spät gemerkt
Nur das PW alleine ist natürlich kein Grund, da hast du Recht,
nun ja zu den Hashes, ich bin wirklich schockiert das diese "one way" verschlüsselung doch noch zu entziffern ist und werde das mal im DS Forum ansprechen. Evtl kann man da was machen.
Wenn jemand Lösungsvorschläge hat kann er mir diese gerne geben, ich werde diese dann weiter geben
*edit*
vom eigentlichen Thema sind wir nun etwas abgekommen ^^
Aber OK, mal sehen was sich noch ergibt
es werden Doppelte-IPs angezeigt
man kann sehen ob die User sich gegenseiteig geworben haben und dient einfach als Indiz unter weiteren Gesichtspunkten und Grundlagen wie interne Buchnungen ect.
Bei Eukalyptusbär und seinen 2 anderen Accounts lag ich ja auch richtig. Leider hab ich es dort zu spät gemerkt
Nur das PW alleine ist natürlich kein Grund, da hast du Recht,
nun ja zu den Hashes, ich bin wirklich schockiert das diese "one way" verschlüsselung doch noch zu entziffern ist und werde das mal im DS Forum ansprechen. Evtl kann man da was machen.
Wenn jemand Lösungsvorschläge hat kann er mir diese gerne geben, ich werde diese dann weiter geben
*edit*
vom eigentlichen Thema sind wir nun etwas abgekommen ^^
Aber OK, mal sehen was sich noch ergibt
BMSammler
Briefmarkensammler
- 6 Mai 2006
- 4.950
- 789
Hallo,
ja ich war auch etwas verwundert wie schnell man "unsichere" Passwörter entschlüsseln kann.
Hier kann man mal wieder nur 2 Tips geben:
- auf jeder Loseseite ein anderes Passwort nehmen
- "komplizierte" Passörter nehmen, also Sachen die keinen Sinn machen, da diese dann nicht schon in Rainbow-Tables gespeichert sind
Wenn jemand ein Passwort wie 12345678 oder abcdefgh nimmt so ist der Hash dann schon fast das gleiche als wenn das VMS gleich das Passwort unverschlüsselt speichern würde.
Gute Nacht
Laemmi
ja ich war auch etwas verwundert wie schnell man "unsichere" Passwörter entschlüsseln kann.
Hier kann man mal wieder nur 2 Tips geben:
- auf jeder Loseseite ein anderes Passwort nehmen
- "komplizierte" Passörter nehmen, also Sachen die keinen Sinn machen, da diese dann nicht schon in Rainbow-Tables gespeichert sind
Wenn jemand ein Passwort wie 12345678 oder abcdefgh nimmt so ist der Hash dann schon fast das gleiche als wenn das VMS gleich das Passwort unverschlüsselt speichern würde.
Gute Nacht
Laemmi
HaeckerChecker
Member
- 23 Oktober 2008
- 7
- 2
Laberst du immer so ein Durchfall?
Das Früchte Addon hat damit nichts zu tun, hab legdlich nur deine ICQ Nummer aus dem Thread, da die in deinem Profil immer falsch war. Aber finde die Idee vom Früchtekorb echt geil... naja wir wollen ja nicht OT werden.
Ich bitte Admins, bzw. Mods diesen ForenAccount frei zu lassen bis die Sache geklärt ist! Bei Klamm werde ich mich nicht anmelden!
Und mdHash5 Passwörter zu veröffentlichen, ohne zu wissen das es 100% um gleiche Accounts handelt sagt mir alles, jetzt wüsste der andere vom den anderen das passwort, da es ja gleich ist, und könnte sich smoit in den Account einloggen und nur unsinn damit anstellen. Und sowas nennt sich Webbi........
Naja da bist du wohl nicht der einzigste hier, hab schon andere blöde im ICQ angeschrieben ^^ Scriptkiddys die sich Progger nennen find ich am geilsten. Copy to Copy xD...
Kannste diese mir mal auflisten, damit ich lachen kann? ^^
Ich lach ja sowieso jetzt schon....
Zuletzt bearbeitet:
DasGuru
ist maskulin
- 16 August 2008
- 1.899
- 144
Hallo Eukalyptusbaer,
Ja das hat mich stutzig gemacht weil du auf meine Seite wolltest um Bugs zu finden und "zu Helfen". Bin da lieber etwas vorsichtig und habe auch schon einiges gehört. Aber ok. ob stimmt weis ich nicht
Nunja mit Rücksprache von 2 Webbis hab ich dich erstmal nicht auf meine Seite gelassen und werde es auch nicht.
Zu den Hashes, diese sind unkenntlich gemacht wie du bestimmt siehst...
Mehr hab ich dazu im Moment nicht zu sagen. Muss erstmal eben was einkaufen ...
Bis später
Ja das hat mich stutzig gemacht weil du auf meine Seite wolltest um Bugs zu finden und "zu Helfen". Bin da lieber etwas vorsichtig und habe auch schon einiges gehört. Aber ok. ob stimmt weis ich nicht
Nunja mit Rücksprache von 2 Webbis hab ich dich erstmal nicht auf meine Seite gelassen und werde es auch nicht.
Zu den Hashes, diese sind unkenntlich gemacht wie du bestimmt siehst...
Mehr hab ich dazu im Moment nicht zu sagen. Muss erstmal eben was einkaufen ...
Bis später
HaeckerChecker
Member
- 23 Oktober 2008
- 7
- 2
Mir kann es ja auch völlig egal sein ob ich dir helfe oder nicht, ich hatte grade langweile, und wollte mal ein anderen webbi helfen. Wenigstens hast du dich noch mit mir unterhalten und nicht so wie dieser Scriptkiddy dessen name bestimmt bekannt ist gleich geblockt und gesperrt hat da ich in Erpresst und Bedroht habe 
(nachdem ich meine hilfe angeboten habe) naja ist ja auch egal.... 
(nachdem ich meine hilfe angeboten habe) naja ist ja auch egal.... 
DasGuru
ist maskulin
- 16 August 2008
- 1.899
- 144
wie schon im ICQ erwähnt braucht dich das nicht wundern. Dafür ist ja wohl schon so einiges vorgefallen ...
...und ob da ein Zusammenhang zwischen dir und Tray besteht wurde mir auch nur geflüstert. Ob es stimmt kann ich nicht sagen und habe es auch nie behauptet.
So bis gleich
...und ob da ein Zusammenhang zwischen dir und Tray besteht wurde mir auch nur geflüstert. Ob es stimmt kann ich nicht sagen und habe es auch nie behauptet.
So bis gleich
HaeckerChecker
Member
- 23 Oktober 2008
- 7
- 2
Mich dann aber noch kackfrech fragen welchen Bug ich bei dir ausgenutzt habe um 36 Mio von EF zu klauen? Das find ich schon dreist, sei froh das ich dir das mit etwas Schwierigkeit aufgelistet habe....
Und Testen der Seite mit einen Testaccount, wobei nicht passieren kann (EF leeren) ist wohl auch nicht drin, egal an mir solls nicht liegen, hatte eben nur langweile und zeit jemanden zu helfen.
Auf einer seite wo ich 100 Billionen Lose Guthaben hatte dessen seitenname ich nicht erwähnen möchte, hat mich nicht sofort gesperrt, sondern erstmal den Supportticket gelesen und dann mit mir allesa abgesprochen... Und dort bin ich jetzt noch Frei, komisch oder? Naja... der Seite helfe ich auf jeden Fall weiter wenn ich neue sachen finde, der Webbi war mir sympatisch.
Und den lieben ruebi habe ich auch geholfen, kann der bestimmt auch bestätigen, und der hat mir mein Account zum testen auch wieder freigegeben.
Ich glaub der hat wohl mehr als 36 Mio auf sein EF oder nicht? Und fehlte dort ein Los nein, so war es eben nicht....
Und das wurde noch nicht beantwortet DieH00kA
Und Testen der Seite mit einen Testaccount, wobei nicht passieren kann (EF leeren) ist wohl auch nicht drin, egal an mir solls nicht liegen, hatte eben nur langweile und zeit jemanden zu helfen.
Auf einer seite wo ich 100 Billionen Lose Guthaben hatte dessen seitenname ich nicht erwähnen möchte, hat mich nicht sofort gesperrt, sondern erstmal den Supportticket gelesen und dann mit mir allesa abgesprochen... Und dort bin ich jetzt noch Frei, komisch oder? Naja... der Seite helfe ich auf jeden Fall weiter wenn ich neue sachen finde, der Webbi war mir sympatisch.
Und den lieben ruebi habe ich auch geholfen, kann der bestimmt auch bestätigen, und der hat mir mein Account zum testen auch wieder freigegeben.
Ich glaub der hat wohl mehr als 36 Mio auf sein EF oder nicht? Und fehlte dort ein Los nein, so war es eben nicht....
Und das wurde noch nicht beantwortet DieH00kA
Zuletzt bearbeitet:
H3llh4mm3r
back from H3ll
- 21 April 2006
- 3.798
- 856
Moinsen, will mich hier mal kurz einklinken.
Zu H00ka:
normaler Weise sollte jeder Webmaster dankbar sein, wenn ein Hacker Schwachstellen im System aufdeckt und dabei hilft diese zu fixen. Letztlich richten sie keinen Schaden an sondern verhindern meist schlimmeres.
Sollte es sich jedoch lediglich um stupides Bugusing gehandelt haben um sich selbst zu bereichern verstehe ich das Du aufgebracht bist.
Sollte es sich bei HackerChecker tatsächlich um Eukalyptusbär handeln kann ich nur sagen: Scheinheilig mein Lieber...
Ich möchte nur mal daran erinnern, wer über längere Zeit nen Bug bei uns am Poker ausgenutzt hat ohne ihn zu melden. Das ist einfach nur Bugusing zum eigenen Vorteil gewesen. Mehr möchte ich dazu nicht sagen.
Zu H00ka:
normaler Weise sollte jeder Webmaster dankbar sein, wenn ein Hacker Schwachstellen im System aufdeckt und dabei hilft diese zu fixen. Letztlich richten sie keinen Schaden an sondern verhindern meist schlimmeres.
Sollte es sich jedoch lediglich um stupides Bugusing gehandelt haben um sich selbst zu bereichern verstehe ich das Du aufgebracht bist.
Sollte es sich bei HackerChecker tatsächlich um Eukalyptusbär handeln kann ich nur sagen: Scheinheilig mein Lieber...
Ich möchte nur mal daran erinnern, wer über längere Zeit nen Bug bei uns am Poker ausgenutzt hat ohne ihn zu melden. Das ist einfach nur Bugusing zum eigenen Vorteil gewesen. Mehr möchte ich dazu nicht sagen.
DasGuru
ist maskulin
- 16 August 2008
- 1.899
- 144
Ja er ist es ^^
Und Ja ich bin dankbar das ich nen BlackHat habe der mir zur Seite steht, aber ich lass nicht jeden ran
Hätte er mir gleich damals die Schwachstellen im System gezeigt/mitgeteilt hätte er die 36 mio Lose behalten können ^^
Aber so war es nicht und auch im gestrigen Gespräch per ICQ musste ich alles ausfragen und nachhacken
@ Euka
wenn du wirklich helfen wolltest will ich dir trotzdem mal danken, aber ich denke bzw hoffe du verstehst meine Einstellung
Und Ja ich bin dankbar das ich nen BlackHat habe der mir zur Seite steht, aber ich lass nicht jeden ran
Hätte er mir gleich damals die Schwachstellen im System gezeigt/mitgeteilt hätte er die 36 mio Lose behalten können ^^
Aber so war es nicht und auch im gestrigen Gespräch per ICQ musste ich alles ausfragen und nachhacken
@ Euka
wenn du wirklich helfen wolltest will ich dir trotzdem mal danken, aber ich denke bzw hoffe du verstehst meine Einstellung
Benutzer-6744
abgemeldet
- 2 Juli 2006
- 6.295
- 601
guck dir ma die definition für nen "BlackHat" an
Denke nicht, das dir ein solcher zur Seite steht
LG
SchneckenChecke
Gesperrt
- 23 Oktober 2008
- 2
- 0
Schade leute, leider erlaubt man mir nicht mein ForenAccount zu behalten.
Wollte es mit euch eigendlich geklärt haben.
mfg....
Wollte es mit euch eigendlich geklärt haben.
mfg....
Benutzer-6744
abgemeldet
- 2 Juli 2006
- 6.295
- 601
Dann halt RedHat oder was auch immer
Auf jeden Fall jemand der das nicht ausnutzt
Aber ja, ich werd mich mal durchgoogeln
*edit* Dann halt Cracker
naja wir wissen ja was gemeint ist
Ich glaub, dass dus immer noch nich gecheckt hast
BlackHat = Cracker = Böswillig = Bugs ausnutzen
WhiteHat = Hacker = Gut = Bugs finden + evt Belohnung bekommen
GreyHat = Mischung aus White & Black --> halt "Grau"zone.. oder wie dus auch nennen willst
LG
AnonymHacker
Gesperrt
- 23 Oktober 2008
- 1
- 1
Also hatte ich eine entwicklung vom BlackHat zum WhiteHat, boah wie süß ist das denn xD. Aber das ganze wusste ich vorher auch schon
dein"e"? dachte nur 1 WhiteHat ^^
dein"e"? dachte nur 1 WhiteHat ^^
BMSammler
Briefmarkensammler
- 6 Mai 2006
- 4.950
- 789
Hallo,
@Eukalyptus, wie oft willste dich denn noch anmelden? Merkst du wirklich nicht das dich kein Mensch hier will? Du bist eben flüssig, sogar überflüssig
Ernsthaft Junge sei froh das im Internet die Gesetze noch nicht so greifen wie im "normalen Leben", glaube sonst hättest du Probleme momentan ins Internet zu kommen.
LG Laemmi
@Eukalyptus, wie oft willste dich denn noch anmelden? Merkst du wirklich nicht das dich kein Mensch hier will? Du bist eben flüssig, sogar überflüssig
Ernsthaft Junge sei froh das im Internet die Gesetze noch nicht so greifen wie im "normalen Leben", glaube sonst hättest du Probleme momentan ins Internet zu kommen.
LG Laemmi