А толку, если код опенсорс - грош цена такому преобразованию, сначала лечится сам md5, затем перебирается. Кстати при взломе бд вытащить соль также не проблема. Можно просто конечно ещё шифровать md5 код, а ключ хранить где-нибудь в конфигах. Правда, SQL может и файлы читать, но если эту лазейку прикрыть, утащить пароль админа будет невозможно. Я как правило прибегаю к генерации случайного 128-битного ключа для всего сайта и добавляю его к соли. Не зная этот ключ нельзя будет взломать пасс даже соленый.
Чтобы вывести что-то через это нужно как минимум получить доступ к ФС сервера для начала, то есть получить доступ не только к БД.
Господа, мне одному показалось, что взломан то был не phpBB, а движок, НА КОТОРОМ РАБОТАЕТ PHP.RU, он же OOPS
сломали двигло php.ru, который я написал 10 лет назад. вот через этот косяк было $obj = $this->db->QueryObject("SELECT UID,START,LAST,IPS,PAGES,DATA FROM oops_sessions WHERE ID = '"$sid."'"); стало $obj = $this->db->QueryObject("SELECT UID,START,LAST,IPS,PAGES,DATA FROM oops_sessions WHERE ID = '".mysql_escape_string($sid)."'"); =) молодец парень. побольше бы таких.
хорошо так поимели. пару бекдоров в шел засунули. слив паролей. так что меняем парни все пароли. прикольно. вспоминаю молодость...
http://forum.antichat.ru/forum156.html ах , у меня гениальная идея , поломайте ктото античат и выложите туда видео только ещё кроме 5 пункта правил конкурса )))
440Hz Это отжиг!!! Как же так =) Восстанови мне админку? upd. Новый пароль придётся запоминать. От этих паролей уже голова разрывается.
Да это не красиво. Это элементарно. Твой же двиг открыт. Если не ошибаюсь легкошоп на нём сделан? Изучили исходники и поимели. Да даже и не изучая исходников тыркали во все возможные места и нашли. Андрей. Пиши безопасный код!!! =)