TÔI MẤT (bị hack) TÀI KHOẢN NHƯ THẾ NÀY? IDOR là gì?

Рет қаралды 7,508

Күн бұрын

Пікірлер: 64

@minhtran-uv4nd 7 ай бұрын

Lưu một history dạng { "salt abc" : "kết quả hash của pass và salt abc", "salt xyz" : "kết quả hash của pass và salt xyz" } Loop key, value in history Nếu hashed(password mới + key) = value thì Password trùng pw cũ ạ

@anonystick 7 ай бұрын

Đúng vậy bro! tks bro!

@hoangnguyenvan3505 7 ай бұрын

@minhtran-uv4nd anh cho em hỏi KEY mà anh nhắc đến ở đây là KEY gì vậy ạ, và nó tương ứng với mỗi User hay sao ạ?

@hoangnguyenvan3505 6 ай бұрын

@@anonystick nhờ anh giải đáp giúp em thắc mắc KEY ở đây là gì với ạ.

@minhtran-uv4nd 6 ай бұрын

@@hoangnguyenvan3505 key, value của object ấy bn. k ph key secret đâu let a = { name: "foo" age: 23 } key là name vs age

@dungam9402 7 ай бұрын

cái bài rbac của anh thật sự giúp em rất nhiều

@caotichcuc 7 ай бұрын

Anh làm video về những cách bảo mật APIs từ đơn giản đến nâng cao đi ạ

@tringuyencaothien2412 7 ай бұрын

có những loại thuật toán mã hoá 1 chiều mà thì user nhập vô rồi đi qua thuật toán ra mã một chiều compare 2 cái lại vs nhau thì biết người ta nhập lại password raw thôi

@DongChiDongLao 7 ай бұрын

12:40 Nếu mật khẩu của các nền tảng là như nhau, thế còn bảo mật 2FA thì sao ạ

@ngChinh04 7 ай бұрын

Cho em hỏi khi tham gia thành viên sẽ được xem những khóa học hay những kiến thức gì khác ạ

@anonystick 7 ай бұрын

Em xem Outline tại đây hen: github.com/anonystick/anonystick

@Jack90Nguyen 7 ай бұрын

Như mình thì khi đăng ký 1 ứng dụng hay trang web thì mình sẽ có công thức để tạo pass dựa trên pass gốc mình hay dùng Tùy theo mức độ quan trọng password gốc sẽ khác nhau, như vậy có lộ pass thì cũng ko dò ra dc hết tài khoản

@KieuTran-iq6rv 7 ай бұрын

Kênh Độ Mixi bị hack, mình nghĩ là hacker đánh cắp cookie của trình duyệt chứ không phải đánh cắp mật khẩu. Nếu dùng mật khẩu để đăng nhập sẽ cần nhập mã bảo mật 2 lớp. Khi có cookie nó sẽ coi như mình đã login rồi (giống chức năng remember me) nên hacker nó có thể thêm sđt, thêm phương thức verify, xóa sđt... mà không cần nạn nhân phải làm gì cả.

@anonystick 7 ай бұрын

yes sir, công nhận nhiều phương thức quá hen. video tập trung vào system design interview nhiều hơn. Càm ơn bro!

@McBrideJohn-fp5nk 7 ай бұрын

ví dụ nó lấy được thông tin đăng nhập vào Google hoặc Facebook thì làm sao để vượt được 2FA Auth ?

@trandinhnamz 3 ай бұрын

Hóa ra em đã tấn công IDOR vào web trường từ năm nhất để lấy thông tin bạn cùng lớp

@_NguyenThuanAn 7 ай бұрын

trường hợp lộ password nghe cũng hợp lý. Nhưng mà mấy trang hay nên tảng như google, steam giờ đều có 2FA. Lúc em cài lại windows đăng nhập lại gg dù vẫn là thiết bị đó, ip mạng đó mà vẫn bị dính 2fa. Chẳng lẽ có thể bypass được?

@hoanguyenkhanh8824 7 ай бұрын

Em thấy có vấn đề gì với việc kiểm tra password cũ trùng với password mới đâu anh nhỉ? Giống với bước login, user phải gửi password tới BE, sau đó BE verify password đó với password đã được mã hoá trong DB, nếu giống thì mới cho login Ko biết em có hiểu nhầm điều gì ko

@anonystick 7 ай бұрын

Không em, em hỏi vậy đúng á. Đều mình hay đa nghi vì sao lại làm vậy mà các hệ thống ghê gớm hơn họ không cần làm vậy? Có lẽ nội công yếu??? Ý anh là vậy á em

@lugiadev 7 ай бұрын

Cái vụ Độ Mixi chú nghĩ xa quá rồi =)) Do ông Độ ham tiền nên mới dính, kể cá có mật khẩu thì vẫn còn 2FA mà? IP lạ bị bắt 2FA ngay. Còn đây nó vô thẳng qua Cookie

@leehuken 7 ай бұрын

E lại nghĩ khác a 1 chút, e thấy các team quản lý phụ trách IT của mấy nghệ sĩ hay streamer trình độ bảo mật của họ tương đối khá, đồng ý là Độ ít am hiểu về IT có thể bị, nhưng cũng phải qua đc những team kia nữa.

@McBrideJohn-fp5nk 7 ай бұрын

hay hung thủ chính là những team kia :D

@phamquangloc 7 ай бұрын

Có thể gọi là Enforce password history. Nếu nó để max vài lần thôi cũng ok, kỹ thuật này lâu rồi, thử đổi 100 làn mà nhận hết là trùng thì toang rồi. 😂

@TaiNguyen-f9e 7 ай бұрын

cháu kh có visa, nhưng rất muốn đăng kí hội viên kênh của chú để học khóa nodejs thì phải làm sao ạ.

@abbaab7139 7 ай бұрын

lộ mật khẩu do thói quen người dùng thì họ còn phải mật khẩu cấp 2 nữa làm sao phải . Nó đánh cắp cookies , hoặc chiếm quyền sử dụng máy

@simonIsDev 7 ай бұрын

rất hay ạ

@linuxdpable 7 ай бұрын

Làm ăn gian lận thôi. Mình toàn mã hoá một chiều.

@16-hoanglan89 7 ай бұрын

làm thế nào để vào được kênh discord của anh vậy ạ

@anonystick 7 ай бұрын

Trong các video member á em

@tramdungcamxuc5048 7 ай бұрын

chỗ mật khẩu trùng mật khẩu cũ thì bình thường mà anh, vì ngta lưu hash pass cũ

@anonystick 7 ай бұрын

Đúng em, video sau chúng ta nói rõ nhiều hơn về issue này.,

@HoangDoGia-k2l 7 ай бұрын

đặt giống pass cho dễ nhớ ạ :)))

@thinhbui4835 7 ай бұрын

Ủa nếu đúng là hệ thống bank thì họ biết pw trùng pw cũ chứ anh, đem so chuỗi hash là đc mà

@anonystick 7 ай бұрын

Hash mà có salt thì không thể giống nhau... Gần như không thể

@kakashiuchiha6996 7 ай бұрын

@@anonystick Anh đoán là tk KZbin, Steam của a Độ bị hack vì hacker tìm đc tk mật khẩu từ những trang khác ví dụ mua sách, mua đồ chơi cho con, bla bla. Nhưng anh quên là youtube, FB nó có bảo mật 2 lớp mà anh khi tk nơi khác đăng nhập thì sẽ thông báo có tk lạ về ĐT mình ngay. V chẳng lẽ hacker vượt đc bảo mật 2 lớp lun à anh Hmmm

@trungle-gn6bw 7 ай бұрын

@@kakashiuchiha6996 máy bạn dùng ở nhà bạn sẽ ko bao giờ hỏi 2FA mỗi lần bạn vào fb. nó tấn công được cả vào router giả dạng máy nạn nhân và IP ở nhà nạn nhân nên fb ko thể biết được.

@MUVietPlus 7 ай бұрын

@@kakashiuchiha6996Anh Độ lấy lại đc lần 1. Xong bị bem tiếp lần 2. Cái này tỷ lệ rất cao mà máy tính đã dính sẵn và bị trạng thái chiếm quyền máy rồi chứ cũng k hẳn là login nơi khác

@dvkhoa 7 ай бұрын

@@anonystick không giống thì ông login kiểu gì???