Mirrors/hacktricks
2
0
Fork 0
mirror of https://github.com/carlospolop/hacktricks synced 2024-11-22 04:33:28 +00:00
Code Issues Projects Releases Packages Wiki Activity

Translated ['pentesting-web/uuid-insecurities.md'] to rs

Browse source
This commit is contained in:
Translator 2024-08-12 14:43:55 +00:00
parent 2bac236a0c
commit bd7e56dc8d
1 changed files with 4 additions and 4 deletions
Show stats Download patch file Download diff file Expand all files Collapse all files

8
pentesting-web/uuid-insecurities.md
View file

@ -17,12 +17,12 @@ Learn & practice GCP Hacking: <img src="/.gitbook/assets/grte.png" alt="" data-s
## Basic Information
Univerzalno jedinstveni identifikatori (UUID) su **128-bitni brojevi koji se koriste za jedinstveno identifikovanje informacija** u računarstvu. UUID-ovi su neophodni u aplikacijama gde su jedinstveni identifikatori potrebni bez centralne koordinacije. Često se koriste kao ključevi u bazama podataka i mogu se odnositi na različite elemente kao što su dokumenti i sesije.
Univerzalno jedinstveni identifikatori (UUID) su **128-bitni brojevi koji se koriste za jedinstveno identifikovanje informacija** u računarstvu. UUID-ovi su neophodni u aplikacijama gde su jedinstveni identifikatori potrebni bez centralne koordinacije. Često se koriste kao ključevi u bazama podataka i mogu se odnositi na različite elemente poput dokumenata i sesija.
UUID-ovi su dizajnirani da budu jedinstveni i **teški za pogađanje**. Struktuirani su u specifičnom formatu, podeljeni u pet grupa koje su predstavljene kao 32 heksadecimalne cifre. Postoje različite verzije UUID-ova, od kojih svaka ima različite svrhe:
* **UUID v1** je vremenski zasnovan, uključuje vremensku oznaku, sekvencu sata i ID čvora (MAC adresa), ali može potencijalno otkriti informacije o sistemu.
* **UUID v2** je sličan v1, ali uključuje modifikacije za lokalne domene (nije često korišćen).
* **UUID v2** je sličan v1, ali uključuje modifikacije za lokalne domene (nije široko korišćen).
* **UUID v3 i v5** generišu UUID-ove koristeći heš vrednosti iz imenskog prostora i imena, pri čemu v3 koristi MD5, a v5 koristi SHA-1.
* **UUID v4** se generiše gotovo potpuno nasumično, pružajući visok nivo anonimnosti, ali sa malim rizikom od duplikata.
@ -37,11 +37,11 @@ xxxxxxxx - xxxx - Mxxx - Nxxx - xxxxxxxxxxxx
## Sandwich attack
"Sandwich Attack" je specifična vrsta napada koja **iskorišćava predvidljivost generisanja UUID v1 u web aplikacijama**, posebno u funkcijama kao što su resetovanje lozinki. UUID v1 se generiše na osnovu vremena, sekvence sata i MAC adrese čvora, što može učiniti da bude donekle predvidljiv ako napadač može da dobije neke od ovih UUID-ova generisanih blizu u vremenu.
"Sandwich Attack" je specifična vrsta napada koja **iskorišćava predvidljivost generisanja UUID v1 u web aplikacijama**, posebno u funkcijama poput resetovanja lozinki. UUID v1 se generiše na osnovu vremena, sekvence sata i MAC adrese čvora, što može učiniti da bude donekle predvidljiv ako napadač može dobiti neke od ovih UUID-ova generisanih blizu u vremenu.
### Example
Zamislite web aplikaciju koja koristi UUID v1 za generisanje linkova za resetovanje lozinki. Evo kako bi napadač mogao da iskoristi ovo da dobije neovlašćen pristup:
Zamislite web aplikaciju koja koristi UUID v1 za generisanje linkova za resetovanje lozinki. Evo kako bi napadač mogao iskoristiti ovo da dobije neovlašćen pristup:
1. **Početna postavka**: