ここから本文です

アメーバのパスワードを解析したいのですが・・・。 適当な文字を入れて ●●●● のよ...

tatuyax0214さん

2011/2/1017:49:19

アメーバのパスワードを解析したいのですが・・・。
適当な文字を入れて
●●●●
のようなものが出てきたので、
解析したら、
不明な文字配列がでてきて、
それを解析すると、
適当にいれた文字がそのまま
でてきます

例えばAと入れて、
ログインボタンを押すと
●●●●●●
のように出てきます。
その●●●●●●を解析すると
謎の文字配列がでてきて、
それをさらに解析すると
A
と出てきます。
つまり
適当に文字を入れたとしても
そのまま解析され、
意味がないということです。
私の力では底までが限界でした。
他の質問を探したりしましたが、
どうしても出てこなかったので、
質問させていただきました。
悪いことを考えているわけではないので、
返事いただけると嬉しいです。
ベストアンサーさんへは500枚御礼をします

この質問は、活躍中のチエリアンに回答をリクエストしました。

閲覧数:
2,828
回答数:
2
お礼:
500枚

違反報告

ベストアンサーに選ばれた回答

nero215r17さん

2011/2/1106:52:44

>honanamaさん
OpenID使えば良いのにと思ってはいましたが・・・、私もキャプってみましたが、ハッシュ掛からないまま、素のまんまでしたね。

>質問者様
ということで、アホなサイトです。
私は基本的にSNS系のサイトは素人レベルな人間が作り込んでいるのでアカウント作ってません。
googleチャットとメールで十分です。いちいち「なう」なんて打ってる暇ないですし。

この質問は投票によってベストアンサーに選ばれました!

ちょい足しを取り消しますが
よろしいですか?

  • 取り消す
  • キャンセル

このQ&Aで解決しましたか?質問する

閉じる

ベストアンサー以外の回答

1〜1件/1件中

honanamaさん

2011/2/1100:51:37

よく見つけましたね。バグです。

トップページ(以降ページAとする)でユーザ/パスワードの入力に誤りがあると、再入力ページ(以降ページBとする)が表示され、再入力に成功するとログイン完了となるようです。

ページAでは、入力されたパスワードがMD5のハッシュを計算してからWebサーバへ送信しているので、まあ安全です。ハッシュ化されたパスワードは元には戻らないので。

問題はページBです。パスワードを再入力した場合、生パスワードのままWebサーバに送られています。パケットキャプチャで生パスワードのまま送られていることを確認しました。MD5化のロジックを見ましたが、https(SSL)通信の場合は生のパスワードのまま送信し、http通信の場合はMD5で送るようなアルゴリズムになっていましたが、このロジックがうまく動いていない様子。

情けない開発者ですね。まともにテストしていないんですね。さあ、この先どう発展する・・・?

ということを質問者さんは言いたかったのですか?

ちょい足しを取り消しますが
よろしいですか?

  • 取り消す
  • キャンセル

Q&Aをキーワードで検索:

Yahoo! JAPANは、回答に記載された内容の信ぴょう性、正確性を保証しておりません。
お客様自身の責任と判断で、ご利用ください。
本文はここまでです このページの先頭へ

ID/ニックネームを選択し、「追加する」ボタンを押してください。

閉じる

※知恵コレクションに追加された質問や知恵ノートは選択されたID/ニックネームのMy知恵袋で確認できます。

ほかのID/ニックネームで利用登録する