هش چیه و چرا اهمیت داره؟
هش یعنی چی؟
یه وقتی شما پسوردتون رو میزنید، سیستم به جای اینکه پسورد واقعی شما رو ذخیره کنه، یه کد به اسم هش از اون میسازه. این هش یه نوع کد ریاضی هست که از پسورد شما بهطور منحصر به فردی ساخته میشه. این یعنی حتی اگر کسی به این هش دست پیدا کنه، نمیتونه به راحتی به پسورد اصلی شما پی ببره.
مثلاً فرض کنین شما پسورد "123456" رو وارد میکنید، سیستم این پسورد رو به یه هش تبدیل میکنه که مثلاً میشه:
e10adc3949ba59abbe56e057f20f883e
این هش فقط برای "123456" منحصر به فرده و کسی که هش رو داشته باشه، بدون این که پسورد رو بدونه، نمیتونه با اطمینان بگه پسورد شما چیه.
چرا از هش استفاده میکنیم؟
استفاده از هش به این دلیل مهمه که امنیت رو بالا میبره. یعنی به جای اینکه پسورد خودت رو در سیستم ذخیره کنی، سیستم فقط هش اون رو ذخیره میکنه. این طوری حتی اگر کسی به دادههای سیستم دسترسی پیدا کنه، باز هم نمیتونه به پسورد شما دست پیدا کنه.
چه اتفاقی میافته وقتی هکر هش رو بدست میآره؟
حالا فرض کن که یه هکر تونسته هش پسورد شما رو پیدا کنه. این هش بهخودیخود به هکر کمک نمیکنه چون از طریق هش نمیتونه بفهمه پسورد شما چیه. ولی اگر هکر بتونه از روشهای خاصی استفاده کنه، میتونه هش رو به پسورد واقعی تبدیل کنه.
روشهای شکستن هش و پیدا کردن پسورد اصلی
1. حمله Brute Force: این حمله خیلی ساده است؛ هکر همه ترکیبهای ممکن از حروف، اعداد و نمادها رو امتحان میکنه تا بفهمه کدوم یکی هش شما رو تولید میکنه. این روش زمان زیادی میبره، ولی اگه پسورد شما ساده باشه، هکر به راحتی میتونه اون رو پیدا کنه.
2. حمله دیکشنری (Dictionary Attack): هکر یه لیست از پسوردهای رایج مثل "123456" یا "password" داره و میره هش هر کدوم رو بررسی میکنه. اگه هش یکی از این پسوردها با هش شما یکی شد، پسورد واقعی رو پیدا کرده.
3. حمله معکوس (Reverse Hashing): توی این حمله، هکر از ابزارهایی استفاده میکنه که هشها رو به پسوردهای اصلی برمیگردونن. مخصوصاً وقتی از الگوریتمهای ضعیفی مثل MD5 یا SHA1 استفاده بشه، این روش خیلی راحت جواب میده.
4. حمله Rainbow Table: توی این روش، هکر از جدولهای آمادهای استفاده میکنه که هشهای مختلف رو از پسوردهای معروف میسازن. این جداول به هکر کمک میکنن تا هش شما رو سریعتر پیدا کنه.
چطور هکرها وارد سیستم میشن؟
فرض کنین هکر موفق شده پسورد شما رو پیدا کنه. حالا ممکنه بخواد وارد حساب کاربری شما بشه. اینجا هکر از روشهای مختلفی برای نفوذ به سیستم استفاده میکنه.
حملات XSS (Cross-Site Scripting)
هکر میتونه از حملات XSS استفاده کنه که در اون کدهای مخرب به صفحات وب تزریق میشه. این کدها میتونن کوکیها یا سشنها رو سرقت کنن و به هکر این امکان رو بدن که وارد سیستم بشه حتی بدون اینکه پسورد بدونه.
حملات SQL Injection
اگه سیستم به SQL Injection آسیبپذیر باشه، هکر میتونه از این حمله استفاده کنه تا درخواستهای پایگاه داده رو دستکاری کنه و به اطلاعات حساس مثل پسوردها یا هشها دسترسی پیدا کنه.
بایپس کردن سیستمهای احراز هویت
هکر میتونه با استفاده از روشهای خاص مثل بایپس کردن سشنها وارد سیستم بشه و دسترسی به حسابهای حساس مثل حساب ادمین پیدا کنه.
تایمینگ اتک (Timing Attack)
حمله تایمینگ اتک چیه؟
حمله تایمینگ اتک یه روش جالب و خطرناک برای شکستن هشهاست. توی این روش، هکر از زمان واکنش سیستم برای پیدا کردن پسورد یا هش استفاده میکنه. وقتی سیستم داره هشها رو مقایسه میکنه، ممکنه زمان بیشتری رو برای مقایسه هشهایی که مشابه هستن صرف کنه. هکر میتونه این تفاوت زمانی رو اندازهگیری کنه و به این ترتیب بفهمه کدوم بخش از هشها مشابه هستن.
چطور هکر از تایمینگ اتک استفاده میکنه؟
هکر با بررسی تفاوتهای زمانی، میتونه به تدریج بفهمه که کدوم بایتها در هشها مشابه هستن. اینطوری به مرور زمان و با کمک تفاوتهای زمانی، هکر میتونه پسورد اصلی رو پیدا کنه.
در کل یقیناً در آینده آموزش هر کدوم رو جدا میزارم و مفصل درموردش حرف میزنیم این مقاله یک پایه ای فعلا
چون نمیخواستم تبلیغاتی حرف بزنم و ... کسی که بلد نیستم یک چیزی یادبگیره
ادامه مطلب اگه میای برای دانلود ابزار هکمونه که بچه های خودمون طراحی کردن من و چند نفر دیگه احتمالا موقع اجرا خواهید دید و پولیع رایگان نیست
لاینسس داره و .... و خوب رایگان آموزش این چیزا رو میدم ولی بدون ابزار کارتون سخت میشه ابزار هایی که ما طراحی کنیم پولیه فعلا رایگان نیست
ولی تو مقاله آموزشی رایگان هاشو میزاریم ،
که منسوخ شدن و خوب فقط برای یادگیری.
بیا ادامه مطلب جهت ارائه لینک دانلود قانونی ابزار.
· 19 فروردین · 
