Że solić hasła trzeba, to wie już zapewne każdy, regularnie czytający nasz portal. Japoński serwis community eBay co prawda poszedł tą drogą, ale chyba nie w sposób, w jaki każdy by sobie tego życzył. Odkrył to i opublikował Ionut Cernica.
Aby poprawnie się zarejestrować wystarczyła para nazwa użytkownika i sól, gdyż do logowania wcale nie było używane hasło. Jeśli chodzi o sól – również nie zadano sobie zbyt wiele trudu podczas jej konstruowania (choć w tym wypadku nie miało to większego znaczenia) ), co gorsza była ona statyczna i taka sama dla wszystkich użytkowników.
Ekran z sesją logowania
Poprawne zapytanie aby zalogować użytkownika z3s z hasłem supertajnehasło2 brzmi:
username=z3s&password=z3s123456
jak więc można zauważyć, hasło do niczego nie było potrzebne gdyż logowanie odbywało się na zasadzie:
username=<username>&password=<username>123456
i jeśli nadal macie wątpliwości odpowiadamy: TAK… solą było najpopularniejsze i jednocześnie najsłabsze hasło roku 2013 (i poprzednich również): 123456, szczegóły ataku Ionut przedstawił w filmiku na youtube.
Komentarze
Mamy zwycięzcę konkursu na najgłupszą wpadkę roku… a dopiero marzec.
Nie skreślaj jeszcze innych… świat IT jest nieobliczalny ;)
zaszaleli, az strach miec ich zabezpieczneia i pomoc admina
To jest tak idiotyczne, że aż niewiarygodne…
Lepiej zmiencie tytul … chyba ze sie nie boicie prawnikow ebay’a
community.ebay.co.jp to nie ebay
Drugie zdanie: „japoński serwis community eBay”, w ramach wyjasnienia domena ebay.co.jp należy do ebay’a, i jest utrzymywana na ich serwerach (choćby DNS):
ebay.co.jp @sjc-dns1.ebaydns.com
ebay.co.jp. 86400 IN A 222.73.220.178
Ta wersja serwisu co prawda, jest traktowana bardzo po macoszemu, gdyż eBay nie odniósł znaczącego sukcesu na tamtym rynku (źródło: http://answers.yahoo.com/question/index?qid=20110715200149AATDnoJ), co nie jest jednak usprawiedliwieniem dla takiego błędu
dobre :)