Cifrado de credenciales con HTTP

Iniciado por d3xf4ult, 10 Mayo 2012, 15:26 PM

0 Miembros y 1 Visitante están viendo este tema.

Imprimir
Ir Abajo Páginas1
Acciones del Usuario

d3xf4ult

10 Mayo 2012, 15:26 PM
Hola todos.

Tengo una duda...
Como como ejemplo, el login mismo de la página del foro de elhacker.net

Esta página no se muestra como https si no como http, sin embargo, si cifra su contraseña por lo que pude comprobar capturando el tráfico. No solo lo tengo comprobado con el este, si no también con otro sitios webs.

Como es posible este cifrado? Se cifra mediante propio código interno de la página o como...?

Gracias

Breixo

#2
13 Mayo 2012, 18:56 PM
Si un login no utiliza http quiere decir que todo va en plano, en el caso de elhacker.net es bastante curioso, en el login se envía por POST estos datos

POSTDATA=user=Breixo&passwrd=&cookielength=90&hash_passwrd=

Según he visto unas veces se envía en la variable passwrd la contraseña en texto plano pero otras veces se envia un hash en la variable hash_passwrd, habría que mirar detalladamete como funciona exactamente pero me da que interceptando el hash se podría suplantar a un usuario.

El calculo del hash se debe hacer en javascript en el navegador.

raul338

#3
13 Mayo 2012, 19:00 PM
Igual al foro se puede entrar directamente con HTTPs :P
Imprimir
Ir Arriba Páginas1
Acciones del Usuario