October 27, 2005 – 3:59 pm
O super-banco-de-dados-unbreakable Oracle apresenta mais uma deficiência em termos de segurança. As senhas não são case sensitive e o salt usado para calcular o hash é o nome do usuário (imagino quantos usuários com nome “oracle”, “system” existem nos Oracles por aí), o que também abre espaço para ataques com tabelas de hashes pré-calculadas. Um estudo muito bom sobre o assunto está no Reading Room do SANS:
