Wordpress: clave de activación cifrada al igual que el password

Iniciado por Schaiden, 3 Agosto 2016, 02:38 AM

0 Miembros y 1 Visitante están viendo este tema.

Schaiden

que tal muchachos? hoy estaba viendo unos videos sobre como vulnerar wordpress... vi uno de hace 5 meses que explica como hacer la inyección sql, y para evitar tener que descifrar el password se usa la técnica de clickear en forgot password, y usar el código de activación que está sin cifrar...

Resulta que cuando empiezo a hacer pruebas el formato del  código de activación es similar al del password:

$P$B90sH75HQ5HJQ8INDxkVTV5ywJtHv1.;

es decir, está igual de cifrado que el password en si, en md5....

Mi duda es si ésto de encontrar los códigos de activación cifrados es un metodo de seguridad reciente, a partir de que versión se aplica y si existe algún otro método para tener que evitar el uso de john...

Saludos!

berz3k


@Schaiden, que versiones y vulnerabildiades en especifico estais probando?

-berz3k.