IT security.
--Web App Testing.
---Cryptography.
----Proof by exhaustion.

Достижения

Все достижения (6)

Наибольший вклад в теги

Все теги (57)

Лучшие ответы пользователя

Все ответы (81)
  • Что нужно знать, чтобы стать хакером?

    DaNHell
    @DaNHell
    Change the world
    7 Steps to Become a Hacker:
    1) learn
    2) try
    3) learn again
    4) try again
    5) try UNTIL
    6) share
    7) return to 1).
    Ответ написан
  • Сколько бpyтфopcить такой пароль?

    DaNHell
    @DaNHell
    Change the world
    Да замечательная штука как плановая смена паролей взята не из воздуха, и не по чей то хотелки.
    Рассчитывается из параметров: алгоритм хеширования, минимальные требования к паролю и ~кол-во юзеров.
    В булке например md5(md5($salt).md5($pass)) скорость брута через cuda среднего класса - 152.0 MH/s (150 миллиона хешей в секунду)!
    Ну это конечно прогресс, 21 век.

    Довольно старая таблица, но все-же
    8tvdxh2.png

    Но это мы говорим про полный перебор.
    Но атаки по маске/правилам/словарям/гибридные и конечно же по радужным таблицам делают свое дело на ура.
    Грубо говоря имея дамп 100к юзеров login : (md5), в течении 3-5 минут получаем результат в более чем 50% подобранных паролей.

    Да и также стоит отметить что увеличивать длину пароля конечно же стоит, увеличив на 2 символа (с 10 до 12) грубо говоря усложняем задачу подбора в 300-500 раз.
    НО: Учитывая что это не просто добавление хоть еще 6-8 букв (словосочетаний) словарных/алфавитных.
    Т.е. ItsGoodPassword даже увеличив до ItsReallyVeryGoodPassword пароль, противостоять сможет всего пару секунд гибридной атаке.

    На 2008 год брут через GPU (UPPER CASE + lower case + digs + symbols)
    • all 6 character password MD5s 3 seconds
    • all 7 character password MD5s 4 minutes
    • all 8 character password MD5s 4 hours
    • all 9 character password MD5s 10 days
    • all 10 character password MD5s ~625 days
    • all 11 character password MD5s fuggedaboudit

    Но на получение 12 символьного пароля ушло далеко не несколько лет, а всего 75 дней.

    P.S. От себя добавлю отличный совет: Если есть возможность - используйте нетрадиционные раскладки языка, спец. символы (которые не так уж и сложно прописывать - FAQ По винде поможет).
    Ну а если еще и закреплять это все стойкостью пароля.. То вы в защите от криптографических атак... но далеко не в абсолютной безопасности...
    Ответ написан
  • Поздний старт в ИТ - есть ли шансы?

    DaNHell
    @DaNHell
    Change the world
    Если есть желание и стремление, которое не должно никак соприкасаться с финансовой стороной, возврастных критерий, всевозможных дипломов, бумажек "подтереть.."
    IT я считаю - одна из наиобширных и разносторонних сфер. Кол-во информации для изучения не хватит и 2ух высших чтобы осилить. А простор для реализации и открытий безусловно без крайний.
    В чем собственно проблема? Когда попить воды хочется, не возникают тысячи мыслей о возврасте, о статусе карьерном, об очистки водопроводной воды, о происхождения жизни и эволюции... Просто берем и выпиваем воды сколько требуется.
    Вывод: просто выбираем сферу, именно интересную не пологаясь на уже имеющиеся знания (всеравно рано или поздно прийдеться понять/изучить хотябы основы и иметь представление как все работает из всех разветвлений IT), но упор должен быть на основную.
    Обозначте цели, которые НУЖНО достигнуть при любых обстоятельствах, + как у меня - что-то вроде предельной точки на момент начала изучения (грубо говоря, на тот момент я видел в этом тупик, и так скажем "финал" того что уже сделано, открыто, используеться.. Однако "тупиком" назвать - был наиглупеиший поступок, но поставив некую предельную цель на момент старта, дает некоторую уверенность и направленность по правильному пути)
    Вообщем мне лишь потребовалось заложеная идея основанная только на интересе и желания развить/открыть не только для себя что-то новое в it, впрочем то это уже было достигнуто на 8мом месяце с уровня "пользователь пк".
    Не придавая значения финансовой стороне, в итоге я нахожусь в неконкурентноспособном положение в своем выбранном уголочке IT, помиму этого, более нескольких тысяч клиентов которые проивляют уважение как к специалисту (к тому-же с точки старта прошло всего-то 1.4 года). Соответственно всеобщие благодарности и довольно много клиентов которые постоянно беседуют на сторонние темы, задают интересующие их вопросы, по возможности моей занятности конечно же получают ответ. Возможно это можно осудить как трату личного времени, которое можно вложить в развитие и совершенствование, но тут играет и тот фактор, что все они становяться чем-то похожим на "друзей", и без проблем на просьбу чем либо помочь пока что никто не отказывал, как говориться не имей 100 рублей...
    Ах и еще, то что мне помогло достичь действительно невероятных результатов за 1.4 года, это выбранный мною "консервативный" метод обучения, который сэкономил порядка 4-5 лет глядя на молодых специалистов окончивших вузы, и порой еще на один огромный шаг от их уровня. Заключается в исключении гугла, вики, за все время к тому же не задал ни 1 вопроса к знающим по теме IT.
    Соглашусь это сложно, очень сложно, и требует сильной выдержки и усидчивости. Но оно того стоит. А если возникают вопросы "как?", я думаю лучше их задать тем кто это когда то уже сделал, воплотил, и применил в наше с вами пользование (ведь у них в 1990-1998 ых годах не было гугла и тд, да и пройдя так скажем их путь по их стопам, открываешь для себя простую вещь, что и об этом уже позаботились). К примеру взяв HTTP и значения HEADER. Уверю, посмотрев на них быстрее прийдет понимание о общем строение www, принципах общения сервер-клиент, нежели прочитав статью в википедии из которой зеленому человеку вообще ничего не откроеться, и вообщем то врятли получит представление о всем IT (основах) на которых все и держится/развивается по сей час.

    Итог:
    Говорить можно бесконечно, рассуждать вечно, думать сколько угодно.. Но от этого мир не "закружиться" вокруг Вас..
    Интерес, стремление, и правильная идея.. И процесс достижения похвальных высот в определенных сферах будут интересны и загораться с желанием развиваться дальше... А все остальные вопросы сами по себе решаться, к тому-же со знаниями ТС если хорошо постараться можно и за пол года уже внести в общую копилку пару статей которые откроют новые рубежи во всем IT. Получить немного за труды благодарностей от крупных компаний, что не сомненно придаст уже прыжок на много лет от конкурентых "молодых" спецов.. Если их вообще возможно назвать специалистами. А финансовый вопрос я думаю закроется сам собой, причем в довольно приличном кол-ве.. Главное делать ради идеи.. А лишними средствами делиться с нуждающимися (благотворительность) нежели скапливать не нужные суммы под подушкой. Не в них счастье, не в них стимул, они только отобьют интерес этой самой изначальной ИДЕИ за которой должен идти каждый из нас, будт то IT, будт то гос. учр-ия...
    Все зависит от нас самих.. Можно быть проще - протереть штаны в вузах, пойти по спец. где прийдется изучить с того же нуля, потратить еще лет 5, и с глубокой тоской и депрессией обвинять всех в том что, уже на протяжении нескольких лет приходиться просто переписывать один и тот же исходник, получать заслуженную з/п за это в 800-1000$ и ненавидить начальство за то что не дают самореализоваться и развиваться дальше..
    Выбор исключительно на поставленной идеи, выбор у каждого свой.

    Надеюсь будет над чем поразмышлять и некий стимул выбросить уже кашу из головы и понять что вообще хочется получить за свои старания... Успехов)
    Ответ написан
  • Как начать заниматься фрилансом? Как начать программировать с нуля?

    DaNHell
    @DaNHell
    Change the world
    1.5 года - ума времени. Мне хватило и 1 года выйти уже на приемлимый уровень.

    Есть начальные занания? не особую роль сыграют. Так как главное в этом деле понимание. Особенно ИБ...

    Желание развиваться, вносить плоды, развивать определенные тематики? Это самое главнле. Если это все "подпирается" финансовыми/маральными/материальными факторами - увы многово из этого не получится.

    Всегда и везде говорил, буду говорить и никто не переубедит, ибо на своей шкуре прошел (и не раз, и не в одной сфере, и с бесподобным результатом не только для себя, но и окружающих) - главное двигаться за идею, есть только интерес, стремление и желание. Ни в коем случае не должно где либо промелькивать финансовые выгоды и тд.
    Поверь, будешь делать это действительно ради чего это требуеться (как никак целая наука), все остальное набежит само. И финансы, и возможности, в главное всеобщее уважение и благодарности. Которые в любом случае будут куда полезнее нежели как-их то 10.000-30.000$.
    Если интересен мой подход к обучению, думаю лучше это обсудить вне сайта. В профиле есть контакт, немного просветить, и посоветовать/направить в нужном направлении: welcome.
    Ответ написан
  • Какие есть хорошие книги по тестированию веб-сайтов на проникновение?

    DaNHell
    @DaNHell
    Change the world
    лучшая книга - это опыт
    тестируй все найденные сканерами уязвимости в ручную, ищи инфу и пробуй
    Просто теория малополезная, наберешь основы тогда уже почитать можно любые книго, выявишь из них что-то для себя новое
    Ответ написан

Лучшие вопросы пользователя

Все вопросы (5)