TÔI MẤT (bị hack) TÀI KHOẢN NHƯ THẾ NÀY? IDOR là gì?
TÔI MẤT (bị hack) TÀI KHOẢN NHƯ THẾ NÀY? IDOR là gì?
👉 Link khóa học backend Nodejs: / @anonystick
Timeline:
00:00 Hoàn cảnh hacker?
03:42 IDOR là gì? Dọc và ngang?
09:46 Thói quen người dùng giết chết người dùng.
15:05 Thuật toán ra đời bảo về người dùng
🚩 Subscribe ➜ / tipsjavascript
#hacker #database #youtuber
✅ Follow Me:
Blog: anonystick.com
Github: github.com/anonystick/anonystick
Facebook: / tipjs
KZread: / tipsjavascript
Пікірлер: 62
có những loại thuật toán mã hoá 1 chiều mà thì user nhập vô rồi đi qua thuật toán ra mã một chiều compare 2 cái lại vs nhau thì biết người ta nhập lại password raw thôi
Anh làm video về những cách bảo mật APIs từ đơn giản đến nâng cao đi ạ
cái bài rbac của anh thật sự giúp em rất nhiều
rất hay ạ
Cái vụ Độ Mixi chú nghĩ xa quá rồi =)) Do ông Độ ham tiền nên mới dính, kể cá có mật khẩu thì vẫn còn 2FA mà? IP lạ bị bắt 2FA ngay. Còn đây nó vô thẳng qua Cookie
12:40 Nếu mật khẩu của các nền tảng là như nhau, thế còn bảo mật 2FA thì sao ạ
hay quá ạ, mỗi ngày 1 kiến thức mới
@anonystick
2 ай бұрын
Video sau hay hơn nữa.
cháu kh có visa, nhưng rất muốn đăng kí hội viên kênh của chú để học khóa nodejs thì phải làm sao ạ.
trường hợp lộ password nghe cũng hợp lý. Nhưng mà mấy trang hay nên tảng như google, steam giờ đều có 2FA. Lúc em cài lại windows đăng nhập lại gg dù vẫn là thiết bị đó, ip mạng đó mà vẫn bị dính 2fa. Chẳng lẽ có thể bypass được?
Lưu một history dạng { "salt abc" : "kết quả hash của pass và salt abc", "salt xyz" : "kết quả hash của pass và salt xyz" } Loop key, value in history Nếu hashed(password mới + key) = value thì Password trùng pw cũ ạ
@anonystick
2 ай бұрын
Đúng vậy bro! tks bro!
@hoangnguyenvan3505
Ай бұрын
@minhtran-uv4nd anh cho em hỏi KEY mà anh nhắc đến ở đây là KEY gì vậy ạ, và nó tương ứng với mỗi User hay sao ạ?
@hoangnguyenvan3505
Ай бұрын
@@anonystick nhờ anh giải đáp giúp em thắc mắc KEY ở đây là gì với ạ.
@minhtran-uv4nd
Ай бұрын
@@hoangnguyenvan3505 key, value của object ấy bn. k ph key secret đâu let a = { name: "foo" age: 23 } key là name vs age
Kênh Độ Mixi bị hack, mình nghĩ là hacker đánh cắp cookie của trình duyệt chứ không phải đánh cắp mật khẩu. Nếu dùng mật khẩu để đăng nhập sẽ cần nhập mã bảo mật 2 lớp. Khi có cookie nó sẽ coi như mình đã login rồi (giống chức năng remember me) nên hacker nó có thể thêm sđt, thêm phương thức verify, xóa sđt... mà không cần nạn nhân phải làm gì cả.
@anonystick
2 ай бұрын
yes sir, công nhận nhiều phương thức quá hen. video tập trung vào system design interview nhiều hơn. Càm ơn bro!
Có thể gọi là Enforce password history. Nếu nó để max vài lần thôi cũng ok, kỹ thuật này lâu rồi, thử đổi 100 làn mà nhận hết là trùng thì toang rồi. 😂
Như mình thì khi đăng ký 1 ứng dụng hay trang web thì mình sẽ có công thức để tạo pass dựa trên pass gốc mình hay dùng Tùy theo mức độ quan trọng password gốc sẽ khác nhau, như vậy có lộ pass thì cũng ko dò ra dc hết tài khoản
ví dụ nó lấy được thông tin đăng nhập vào Google hoặc Facebook thì làm sao để vượt được 2FA Auth ?
lộ mật khẩu do thói quen người dùng thì họ còn phải mật khẩu cấp 2 nữa làm sao phải . Nó đánh cắp cookies , hoặc chiếm quyền sử dụng máy
Cho em hỏi khi tham gia thành viên sẽ được xem những khóa học hay những kiến thức gì khác ạ
@anonystick
2 ай бұрын
Em xem Outline tại đây hen: github.com/anonystick/anonystick
E lại nghĩ khác a 1 chút, e thấy các team quản lý phụ trách IT của mấy nghệ sĩ hay streamer trình độ bảo mật của họ tương đối khá, đồng ý là Độ ít am hiểu về IT có thể bị, nhưng cũng phải qua đc những team kia nữa.
@McBrideJohn-fp5nk
2 ай бұрын
hay hung thủ chính là những team kia :D
Em thấy có vấn đề gì với việc kiểm tra password cũ trùng với password mới đâu anh nhỉ? Giống với bước login, user phải gửi password tới BE, sau đó BE verify password đó với password đã được mã hoá trong DB, nếu giống thì mới cho login Ko biết em có hiểu nhầm điều gì ko
@anonystick
2 ай бұрын
Không em, em hỏi vậy đúng á. Đều mình hay đa nghi vì sao lại làm vậy mà các hệ thống ghê gớm hơn họ không cần làm vậy? Có lẽ nội công yếu??? Ý anh là vậy á em
Làm ăn gian lận thôi. Mình toàn mã hoá một chiều.
đặt giống pass cho dễ nhớ ạ :)))
Yes
❤
yes
làm thế nào để vào được kênh discord của anh vậy ạ
@anonystick
2 ай бұрын
Trong các video member á em
Yes :))
yes =))
chỗ mật khẩu trùng mật khẩu cũ thì bình thường mà anh, vì ngta lưu hash pass cũ
@anonystick
2 ай бұрын
Đúng em, video sau chúng ta nói rõ nhiều hơn về issue này.,
Facebook họ cũng bắt 6 tháng đổi 1 lần và cũng detect được pass mới đã từng có chưa
Ủa nếu đúng là hệ thống bank thì họ biết pw trùng pw cũ chứ anh, đem so chuỗi hash là đc mà
@anonystick
2 ай бұрын
Hash mà có salt thì không thể giống nhau... Gần như không thể
@kakashiuchiha6996
2 ай бұрын
@@anonystick Anh đoán là tk KZread, Steam của a Độ bị hack vì hacker tìm đc tk mật khẩu từ những trang khác ví dụ mua sách, mua đồ chơi cho con, bla bla. Nhưng anh quên là youtube, FB nó có bảo mật 2 lớp mà anh khi tk nơi khác đăng nhập thì sẽ thông báo có tk lạ về ĐT mình ngay. V chẳng lẽ hacker vượt đc bảo mật 2 lớp lun à anh Hmmm
@trungle-gn6bw
2 ай бұрын
@@kakashiuchiha6996 máy bạn dùng ở nhà bạn sẽ ko bao giờ hỏi 2FA mỗi lần bạn vào fb. nó tấn công được cả vào router giả dạng máy nạn nhân và IP ở nhà nạn nhân nên fb ko thể biết được.
@MUVietPlus
2 ай бұрын
@@kakashiuchiha6996Anh Độ lấy lại đc lần 1. Xong bị bem tiếp lần 2. Cái này tỷ lệ rất cao mà máy tính đã dính sẵn và bị trạng thái chiếm quyền máy rồi chứ cũng k hẳn là login nơi khác
@dvkhoa
2 ай бұрын
@@anonystick không giống thì ông login kiểu gì???
Em thấy fb cũng bít dc pw cũ và mới nữa anh
@anonystick
2 ай бұрын
Kể cũng lạ, mà anh điều tra ra rồi... kkakak
@samaHama-wfssa
2 ай бұрын
@@anonystick hóng ạ
1
yes =)))