• STATISTIQUES
  • Il y a eu un total de 0 membres et 49653 visiteurs sur le site dans les dernières 24h pour un total de 49 653 personnes!
    Membres: 2 605
    Discussions: 3 579
    Messages: 32 816
    Tutoriels: 78
    Téléchargements: 38
    Sites dans l'annuaire: 58


  • ANNUAIRE
  • [FR] Root-me
    Script: 5, Système: 20, Cracking: 16, Cryptanalyse: 17, Programmation: 8, Réaliste: 11, Réseau: 10, Stéganog...
    Challenges
    [EN] Dare your mind
    JavaScript: 6, Crypto: 44, Stegano: 36, Logic: 13, Special: 27, Science: 11, Realistic: 7, Programming: 10, Crack It: 6,...
    Challenges
    [FR] Zenk-Security
    La communauté zenk-security a pour objet principal la sécurité informatique, nous sommes des tou...
    Hacking
    [FR] Newbie Contest
    Crackme: 35, Cryptographie: 49, Hacking: 27, Javascript/Java: 17, Logique: 31, Programmation: 23, Stéganographie: 53
    Challenges
    [FR] Asp-php
    Tutoriaux sur ASP, PHP, ASP.net, XML, SQL, Javascript, HTML, VML - Scripts et ressources pour webmasters - Forums d&#...
    Programmation
    [EN] Defcon
    Lancé en 1992 par Dark Tangent, DEFCON est la plus ancienne et la plus grande conférence underground de...
    Hacking
    [EN] Packet Storm
    Packet Storm est un site qui combine nouvelles de la sécurité informatique, téléchargemen...
    Vulnérabilités

  • DONATION
  • Si vous avez trouvé ce site internet utile, nous vous invitons à nous faire un don du montant de votre choix via Paypal. Ce don servira à financer notre hébergement.

    MERCI!




Note de ce sujet :
  • Moyenne : 0 (0 vote(s))
  • 1
  • 2
  • 3
  • 4
  • 5
[C/C++] BruteForce
26-02-2013, 10h48 (Modification du message : 26-02-2013, 10h56 par b0fh.)
Message : #21
b0fh Hors ligne
Membre actif
*



Messages : 210
Sujets : 17
Points: 309
Inscription : Jul 2012
RE: [C/C++] BruteForce
Ben, ce type de problème est plutôt présent dans les cas ou on essaie de deviner une clef secrète ou un padding ou un sel; ici à priori on suppose que le hash est connu.

Mais admettons que le serveur aie du code comme
Code :
h == hash
, et que l'attaquant contrôle h mais ne connaisse pas hash.

Le problème est que, en comparant des strings, le temps de comparaison est proportionnel au nombre de mots communs en début de la chaine. Donc plutôt que de devoir bruteforcer un hash complet, il peut essayer plusieurs h ayant des débuts différents, mesurer le temps de réponse du serveur, et garder le plus long; et ainsi reconstruire hash en temps linéaire plutôt qu'exponentiel.

Pour éviter ça, il faut t'assurer que le temps de comparaison ne dépende pas de tes données. Et donc pas de break/continue, qui changent le nombre d'itérations de tes boucles.

L'attaque fameuse était celle de S. Vaudenay contre OpenSSL, qui vérifiait qu'un paquet entrant était valide en testant qu'il avait un padding et un MAC correct. Mais dans les vieilles versions, le MAC n'était pas testé si le padding était incorrect, ce qui permettait de distinguer les deux erreurs en mesurant le temps de réponse. Et pour le mode CBC, ça permet de réaliser l'attaque dite du Padding Oracle, qui permet de casser un cleartext byte par byte a condition d'avoir a disposition une boite noire qui dise pour chaque ciphertext si le padding est correct ou pas.
+1 (3) -1 (0) Répondre


Messages dans ce sujet
[C/C++] BruteForce - par InstinctHack - 25-02-2013, 08h22
RE: [C/C++] BruteForce - par gruik - 25-02-2013, 09h49
RE: [C/C++] BruteForce - par Sh4dows - 25-02-2013, 12h51
RE: [C/C++] BruteForce - par Creepy_p0ney - 25-02-2013, 13h39
RE: [C/C++] BruteForce - par InstinctHack - 25-02-2013, 15h01
RE: [C/C++] BruteForce - par gruik - 25-02-2013, 16h47
RE: [C/C++] BruteForce - par Creepy_p0ney - 25-02-2013, 16h57
RE: [C/C++] BruteForce - par InstinctHack - 25-02-2013, 17h12
RE: [C/C++] BruteForce - par Sh4dows - 25-02-2013, 17h24
RE: [C/C++] BruteForce - par gruik - 25-02-2013, 17h24
RE: [C/C++] BruteForce - par InstinctHack - 25-02-2013, 17h40
RE: [C/C++] BruteForce - par Sh4dows - 25-02-2013, 18h51
RE: [C/C++] BruteForce - par InstinctHack - 25-02-2013, 19h49
RE: [C/C++] BruteForce - par gruik - 25-02-2013, 21h45
RE: [C/C++] BruteForce - par balis - 25-02-2013, 21h28
RE: [C/C++] BruteForce - par b0fh - 25-02-2013, 21h50
RE: [C/C++] BruteForce - par notfound - 28-02-2013, 14h29
RE: [C/C++] BruteForce - par InstinctHack - 25-02-2013, 22h02
RE: [C/C++] BruteForce - par k-otik - 26-02-2013, 03h04
RE: [C/C++] BruteForce - par InstinctHack - 26-02-2013, 04h38
RE: [C/C++] BruteForce - par gruik - 26-02-2013, 10h32
RE: [C/C++] BruteForce - par b0fh - 26-02-2013, 10h48
RE: [C/C++] BruteForce - par k-otik - 28-02-2013, 01h52
RE: [C/C++] BruteForce - par gruik - 28-02-2013, 08h29
RE: [C/C++] BruteForce - par Dobry - 26-02-2013, 16h18

Atteindre :


Utilisateur(s) parcourant ce sujet : 11 visiteur(s)
N-PN
Accueil | Challenges | Tutoriels | Téléchargements | Forum | Retourner en haut