Tu n'as pas compris mon propos. Je ne parle pas de faire une base de tous les logins/mots de passes possibles mais de tous les mots de passes utilisés.
L'attaquant a juste besoin de consulter sa base avec le login recherchait et de tester tous les mots de passes qu'il a pu récolté pour ce login. Bref , beaucoup plus rapide qu'un brut force ^^.
Pour le reste ,je suis entièrement d'accord avec toi.
J'ajouterai juste que pour éviter le buffer overflow , je programme en Java. Toutefois, il faut encore que le système soit à jour , ainsi que la jvm et le SGBDR.
Enfin, l'attaquant pourrait quand même supprimer une protection contre l'injection de code SQL ou l'injection de cross site scripting.
[^] # Re: Mots de passe? 400Go??
Posté par syj . En réponse au journal Compromission de code source.. Évalué à 1.
L'attaquant a juste besoin de consulter sa base avec le login recherchait et de tester tous les mots de passes qu'il a pu récolté pour ce login. Bref , beaucoup plus rapide qu'un brut force ^^.
Pour le reste ,je suis entièrement d'accord avec toi.
J'ajouterai juste que pour éviter le buffer overflow , je programme en Java. Toutefois, il faut encore que le système soit à jour , ainsi que la jvm et le SGBDR.
Enfin, l'attaquant pourrait quand même supprimer une protection contre l'injection de code SQL ou l'injection de cross site scripting.