SSH時に10KBぐらいの長いパスワードを投げつけるとハッシュ計算にかかる時間からアカウントの存在確認ができる脆弱性。存在しないユーザと実在ユーザでハッシュアルゴリズムが違う→応答時間差でわかる。なるほど。

tmatsuu のブックマーク 2016/08/14 08:47

<blockquote class="hatena-bookmark-comment"><a class="comment-info" href="https://b.hatena.ne.jp/entry/294850277/comment/tmatsuu" data-user-id="tmatsuu" data-entry-url="https://b.hatena.ne.jp/entry/s/seclists.org/fulldisclosure/2016/Jul/51" data-original-href="https://seclists.org/fulldisclosure/2016/Jul/51" data-entry-favicon="https://cdn-ak2.favicon.st-hatena.com/64?url=https%3A%2F%2Fseclists.org%2Ffulldisclosure%2F2016%2FJul%2F51" data-user-icon="/users/tmatsuu/profile.png">Full Disclosure: opensshd - user enumeration</a><br><p style="clear: left">SSH時に10KBぐらいの長いパスワードを投げつけるとハッシュ計算にかかる時間からアカウントの存在確認ができる脆弱性。存在しないユーザと実在ユーザでハッシュアルゴリズムが違う→応答時間差でわかる。なるほど。</p><a class="datetime" href="https://b.hatena.ne.jp/tmatsuu/20160814#bookmark-294850277"><span class="datetime-body">2016/08/14 08:47</span></a></blockquote><script src="https://b.st-hatena.com/js/comment-widget.js" charset="utf-8" async></script>

このブックマークにはスターがありません。
最初のスターをつけてみよう！

Full Disclosure: opensshd - user enumeration

seclists.org2016/07/18

opensshd - user enumeration From: "Harari, Eddie" <EddieEzra.Harari () verint com> Date: Thu, 14 Jul 2016 10:12:45 +0000 Sorry for the resend, I change the format of the em ail to better fit the lis...

9 人がブックマーク・1 件のコメント

他のコメントを読む

＼コメントがサクサク読めるアプリです／

はてなブックマーク

Full Disclosure: opensshd - user enumeration

はてなブックマーク

公式Twitter

はてなのサービス