Re: [ml] Homebanking password security

[ Home | Liste | F.A.Q. | Risorse | Cerca... ]

[ Data: precedente | successivo | indice ] [ Argomento: precedente | successivo | indice ]

Archivio: Ottobre 2007 ml@sikurezza.org
Soggetto: Re: [ml] Homebanking password security
Mittente: Michele Gardellin
Data: Wed, 31 Oct 2007 11:02:02 +0100 (CET)

>Se i caratteri come l'apostrofo possono causare problemi per campi come
>quello della password, significa probabilmente che l'applicazione fa una
>query direttamente sul database (e conseguentemente le password sono in
>chiaro nel database - il che non mi sembra proprio una cosa
>ragionevole).
>
Alquanto O.T. ma curioso per questa affermazione

query("SELECT count(*) FROM users WHERE user='$user' e pass=md5('$pass')

Mi sembra una cosa che vedo spessissimo nelle applicazioni web, questo
implica un sql_injection ? Ha tutti i presupposti di non convertire in
hash la password ma di usarla direttamente in DB.
A mio avviso basta un $pass=ereg_replace("'","\'",$pass) sempre che non
sia il webserver ad escheippare ed a quel punto non serve nemmeno le
regex replace.
Ditemi se e dove sbaglio ?

Micky.

In risposta a:
- [ml] Homebanking password security, Raffaele
- Re: [ml] Homebanking password security, Tullio Andreatta ML
- Re: [ml] Homebanking password security, Claudio Telmon
- Re: [ml] Homebanking password security, Tullio Andreatta ML
- RE: [ml] Homebanking password security, TNT

Data:
- precedente: Re: [ml] Tesi sulla sicurezza in windows e linux, simo
- successivo: Re: [ml] Sistemi di autenticazione per web application, raffaele messuti
- indice

Argomento:
- precedente: RE: [ml] Homebanking password security, TNT
- successivo: Re: [ml] Homebanking password security, Marcello Barnaba (void)
- indice

[ Home | Liste | F.A.Q. | Risorse | Cerca... ]

www.sikurezza.org - Italian Security Mailing List
(c) 1999-2005