“pippo ha 5 caratteri quindi il sistema fa 5 chiamate GET verificando le combinazioni create mano mano che digitate (p, pi, pip, pipp, pippo). Le chiamate fatte sono come la seguente di esempio:
curl “https://api.pwnedpasswords.com/range/D012F” ^
-H “Accept: application/json, text/plain, */*” ^
-H “Referer: https://www.digitale.co/” ^
-H “User-Agent: Mozilla/5.0 (Windows NT 10.0; Win64; x64) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/92.0.4515.131 Safari/537.36” ^
–compressed
La chiamata è in GET (quindi chiede dati ma di fatto non ne invia), la chiamata non ha nessun payload (quindi nessuna informazione che manda con la richiesta) e tutto quello che viene inviato è codificato SHA1.
Versione breve dello spiegone: Sì la vostra password del cuore è al sicuro!
Pingback: Mi hanno (quasi) hackerato il profilo Instagram - Alessandro Balboni
Pingback: Google Authenticator: proteggi i tuoi account - Alessandro Balboni