如何在雅虎中使用密码的非the！数据泄露？

Question

攻击者如何通过服务器上的脚本使用加密的非does来生成访问cookie？发生在雅虎身上的事！服务器。

Answer 1

我想知道这篇文章中是否有错误。他们称偷来的密码值为"nonces“，但nonce只打算使用一次，我不希望它们存储在帐户数据库中，因为根据它们的使用，值在经过身份验证的会话中会多次更改。

如果我不得不猜测的话，他们所称的现在实际上是一个从他们的密码生成的咸散列，而且Yahoo服务器上的脚本允许他们使用哈希进行身份验证，而不是根据存储的哈希检查提供的密码。

编辑：

在阅读这之后，"nonce“只有在更改密码之后才会更改，对我来说，密码表明它要么是他们的salted+hashed密码，要么是根据他们的密码或其他字段密码为他们的帐户生成的某种类型的唯一标识符，但我认为它可以完全基于其他信息。

我很难猜出用来制作cookie的脚本的目的是什么。这可能是他们常规身份验证过程的一部分。它可以从互联网上获得，因此在身份验证期间浏览器可能会调用它，使得攻击者更容易找到它。可能浏览器调用了一个身份验证函数来验证用户名/pass，并返回了用于调用该函数以生成会话令牌的"nonce“。不管它的目的是什么，在这种情况下，它允许攻击者绕过salts+hashes客户端提供的传统身份验证过程，将其与表中存储的内容进行比较，而允许"nonce“值生成一个会话令牌，并授予帐户授权。在salted+hash表单中存储密码的全部目的是防止成功盗取帐户数据库的人能够使用凭据，而无需做大量额外的工作。对于服务器上引用的脚本，这个步骤基本上被删除了，结果与密码存储在明文中没有太大的不同。