WSO (веб-шелл) — ANTICHAT Forum

#11

02.06.2010, 21:06

budden

Участник форума

Регистрация: 26.07.2008

Сообщений: 267

Провел на форуме:
1343031

Репутация: 184

Цитата:

Сообщение от budden

Есть пара вопросов/предложений:
...
2) я тут подумал - а не хотите по дефолту реализовать соленый хэш пароля? Просто думаю многие используют один и тот же пасс на свои шеллы - и наличие одного и того же хэша (особенно если пасс уникальный) довольно сильно может повредить, если шеллы будут найдены и админ захочет погуглить.

Цитата:

Сообщение от oRb

По второму пункту. Соглаен так было бы лучше, но многие даже дефолтный пасс не меняют, поэтому вряд ли будут заморачиваться с солью.

Если все же будет решено реализовать, то по-моему разумно писать соль прямо в хэш так:
$auth_pass = "megasalt:acba33675579708d335032cffb0a0c32";
Т.е. кому не надо: соль не пишет туда - все по-прежнему, а для тех, кто так сделал, в шелле проверка на длину>32 например и выкусывания соли если тру.

Еще заметил, что по сравнению с 2.1 хуже стало кэшироваться (имею в виду работу шелла - возможно в генерируемых хтмл no cache выставляется где-то). Приведу пример:
на 2.1 при работе в file manager, вполне реально выбрать в лисе work offline и сделать несколько раз назад - посмотреть предыдущие странички без их перезагрузки. В 2.4 это не проходит, и при нажатии назад выкидывает на _кардинально_ иной экран (т.е. например работу с sql, если она до этого открывалась). аякс при этом в настройках отключен.

ANTICHAT — форум по информационной безопасности, OSINT и технологиям