2006年8月23日水曜日

タイミングベースアタックon Web



なんか、SSHへのブルードフォースアタックの例が@pliceに乗っているのを見て


ふと思ったんだけど。。。。。


昔SSHで応答タイミングの差をつかってID検索だかパスワードアタックだかするってのが


あったなぁ。。。あれってWebでもできるんじゃないかと思いつつ。


普通バックエンドにDBがあって、IDが主キーでパスワードとandとってselectするわけだよなぁ。


応答時間差って使えるのかなぁ?でも主キーがIDに設定されてると結構きびしいかぁ?


暇みて実験してみよっと。





0 件のコメント:

コメントを投稿