SQL 삽입 및 파일 삽입을 보안 설정했는데 서버에 액세스 할 수없는 경우 왜 암호가 필요하지 않은지 궁금합니다.왜 소금 암호인가?
그가 서버에 액세스 할 수없는 경우 크래커가 PHP 서버에서 해시 된 암호를 얻는 방법은 무엇입니까? 웹 서버, Linux 또는 Windows에 대한 로컬 계정이 없습니다. 또한 그가 웹 서버에 웹 계정이 있다면?
내 생각에 암호 비교가 클라이언트 컴퓨터가 아닌 웹 서버에서 이루어지기 때문에 해시 된 암호가 크래커에 표시되지 않습니다. 그래서 서버가 안전하다면 크래커는 자신이나 다른 해쉬 된 암호에 접근 할 수 없을 것입니다. 맞습니까?
서버에 액세스하면 남은 보안 구멍이없는 말은하지 않는 것을 발견 할 수있는 모든 보안 구멍을 연결해
수없는 경우.
서버에 대한 액세스가 불가능하다고 간주 할 수 없습니다.
알려진 바 없음 –
서버에 액세스 할 수 없거나 앞으로 액세스 할 수 없다는 것을 확신 할 수 없기 때문에 잘못되었을 수 있습니다. 어떻게 크래커는 PHP 서버에서 해시 된 암호를 얻습니까? 버그, 악용 또는 사회 공학, 또는 당신이 고용 한 다음 해고 한 사람 그리고 지금 그는 화가 났고 데이터베이스의 데이터 덤프가 인터넷에 유출 된 것처럼 느낍니다. 왜 이 아니며 암호를 암호화합니까?
암호를 암호화하지 않으면 해커가 Rainbow 테이블 (http://en.wikipedia.org/wiki/Rainbow_table)을 사용하고 암호가 올바른 때까지 로그인 할 때 위험 할 수 있습니다.
공격자가 있습니다. –
성 중립을 위해 업데이트되었습니다. :) –
항상 최선의 방법입니다. . 숙녀가 빠져 나갈 때 얼마나 싫어하는지 아시다시피 ;-) –
100 % 해킹 할 수 없다고 가정하면 나쁜 가정입니다. 암호를 해싱하는 것은 간단한 작업이므로 더 나은 질문은하지 않는 이유입니다. 간단히 말해, OWASP가 권장한다면 그것을해야합니다. https://www.owasp.org/index.php/Password_Storage_Cheat_Sheet LinkedIn처럼 끝내고 싶지는 않습니까? http://queue.acm.org/detail.cfm?id=2254400
그리고 "내부자"위협을 잊지 마세요. 액세스 권한이있는 불만을 가진 직원. https://www.owasp.org/index.php/CLASP_Security_Principles – gfrobenius
왜 처음부터 해시해야합니까? 그냥 평범한 것을 저장할 수 있습니다 : p – knittl
* "왜 소금 암호인가?"* - '어려운 길'을 찾으시겠습니까? - * 나는 그렇게 생각하지 않았다. *. 그래서, '소금물'. (도트, 점, 점) –