em co thằng bạn xài phần mền kaspersky internet security 2011 nó có mấy cái key em xin về xài lúc nhập key vào thì nó báo lỗi không thích hợp nhưng bạn em nó xài vẫn được bạn em thì xài laptop em thì may tính bàn mông mấy anh chỉ giùm em đây là email của em kingkhacm@gmail.com 

kimtulong wrote:

như bác hoasimtim nói như trên gần như là không thể vậy sao mọi người hack lỗi SQL injection tìm ra được cái mật khẩu md5 chỉ để ngắm thôi sao?hichic! smilie 

Do md5() về thực tế là khó có thể dịch được, nên mã md5 lấy ra được từ kết quả hack thường được dùng vào việc tạo fake cookie

Về lý thuyết, cookie nào được lưu về dưới 1 tên ABC nào đó đều là sản phẩm của một thuật toán dựa vào mã md5 đã lưu ở database - hoặc trường hợp coder hơi gà một tí là lưu mã md5 có trong database mà không mã hóa thêm nữa.

Như vậy, hacker hoàn toàn có thể mô phỏng lại quy trình mã hóa này bằng cách dựa vào mã md5 lấy được, họ sẽ tạo được fake cookie để có thể đăng nhập một cách hợp lệ.

Chỉ có vậy thôi. 

@kimtulong: câu hỏi của bạn làm mình nhớ đến một tình huống cách đây vài năm cũng ở trên HVAOnline này, có một bạn cũng có thành tích hacking dữ dội lắm. lần đó thì sau khi đã hack được một cái web-app, upload được cả shell lên, bạn đó muốn vào chức năng admin của cái webapp, nên lấy database ra thì password toàn là hash.

rồi bạn đó lên HVAOnline cũng hỏi y chang câu hỏi của bạn, sau đó còn hì hụi tìm cách brute force đám md5 đó. trong khi có một cách dễ hơn rất nhiều và cũng không để lại dấu vết gì: cứ copy cái đám md5, backup lại chỗ nào đó, cần vào quyền của user nào, thì cứ tạo đại một cái md5, cập nhật cái md5 đó vào field password của user đó là xong. làm xong thì lấy cái md5 cũ cập nhật lại.

hình như sau lần đó thì bạn ấy bỏ nghề luôn. thế là nước nhà mất đi một hacker tài năng.