Hacknite Wiki

User Tools

Site Tools

Trace: linux radare2_practical file_upload local_file_inclusion sql_injection ret2libc
hash

Differences

This shows you the differences between two versions of the page.

Link to this comparison view

Both sides previous revisionPrevious revision
Next revision		Previous revision
hash [2023/11/27 09:39] lsshash [2025/12/01 11:40] (current) – external edit 127.0.0.1
Line 26: Line 26:
  
 ===Salt hashing=== ===Salt hashing===
-**Salt hashing** je metoda koja se koristi za hashiranje osjetljivih podataka, primjerice lozinki. Podatku se prije ubacivanja u funkciju sažetka dodaje još jedan nasumično generiran podatak (//salt//). Dodavanje ide najčešće na kraj (//append//) ili na početak (//prepend//), ali može ići na bilo koje mjesto. Nakon toga se u bazu podataka zapišu korisničko ime, sažetak lozinke zajedno sa //saltom// i sam //salt//. Kad se korisnik želi ulogirati u sustav i upiše lozinku, njoj se dodaje onaj //salt// koji je zapisan pored tog korisnika u bazi podataka i provjerava se odgovara li hash lozinke i //salta// zajedno onom hashu koji je zapisan u bazi. Na taj se način otežava napadaču da otkrije lozinku korisnika jer ne može koristiti pripremljenu tablicu.+**Salt hashing** je metoda koja se koristi za hashiranje osjetljivih podataka, primjerice lozinki. Podatku se prije ubacivanja u funkciju sažetka dodaje još jedan nasumično generiran podatak (//salt//). Dodavanje ide najčešće na kraj (//append//) ili na početak (//prepend//), ali može ići na bilo koje mjesto. Nakon toga se u bazu podataka zapišu korisničko ime, sažetak lozinke zajedno sa //saltom// i sam //salt//. Kad se korisnik želi ulogirati u sustav i upiše lozinku, njoj se dodaje onaj //salt// koji je zapisan pored tog korisnika u bazi podataka i provjerava se odgovara li hash lozinke i //salta// zajedno onom hashu koji je zapisan u bazi. Na taj se način otežava napadaču da otkrije lozinku korisnika jer ne može koristiti unaprijed pripremljenu tablicu sažetaka.
  
 Iako se na prvi pogled može činiti problematičnim što je //salt// zapisan u jasnom tekstu pored korisnika, treba uzeti u obzir da funkcije sažetka nemaju inverznu funkciju, odnosno nema načina kojim se može iz sažetka izravno dobiti original. Napadač baze podataka možda i vidi koji je //salt// iskorišten u generiranju sažetka, no ne može ga nikako eliminirati iz rezultata i izvući samo lozinku korisnika. Može eventualno dodavati taj //salt// na svaki svoj unos i nadati se da će pogoditi funkciju sažimanja koja je korištena. Nije nemoguće, ali se značajno produljuje vrijeme pretrage u odnosu na dosadašnje metode sažimanja, stoga se ova metoda smatra vrlo dobrom praksom i sve se češće koristi. Iako se na prvi pogled može činiti problematičnim što je //salt// zapisan u jasnom tekstu pored korisnika, treba uzeti u obzir da funkcije sažetka nemaju inverznu funkciju, odnosno nema načina kojim se može iz sažetka izravno dobiti original. Napadač baze podataka možda i vidi koji je //salt// iskorišten u generiranju sažetka, no ne može ga nikako eliminirati iz rezultata i izvući samo lozinku korisnika. Može eventualno dodavati taj //salt// na svaki svoj unos i nadati se da će pogoditi funkciju sažimanja koja je korištena. Nije nemoguće, ali se značajno produljuje vrijeme pretrage u odnosu na dosadašnje metode sažimanja, stoga se ova metoda smatra vrlo dobrom praksom i sve se češće koristi.
hash.1701077988.txt.gz · Last modified: 2025/12/01 11:40 (external edit)
Donate Powered by PHP Valid HTML5 Valid CSS Driven by DokuWiki