在Python中利用哈希函數

Question

我提出了一個關於內置python哈希函數的主題：Old python hashing done left to right - why is it bad? 上一個主題是關於爲什麼它不好加密，因爲我們有一個名爲Gruyere的應用程序，裏面充滿了安全漏洞，它使用hash（）來加密cookie。

# global cookie_secret; only use positive hash values 
h_data = str(hash(cookie_secret + c_data) & 0x7FFFFFF) 

c_data是一個用戶名; cookie_secret是salt（默認爲''''）

我已經實現了一個更安全的加密方法，使用md5哈希與鹽，但一個練習是擊敗這個舊的加密，我仍然不明白如何:-(我'已經閱讀了python源代碼中的string_hash代碼，但它沒有記錄，我不知道它。

編輯：這個想法是寫一個程序，可以創建一個有效的cookie任何有效的用戶，所以我想我需要找出cookie_secret以某種方式

Answer 1

Zack在你的最後一個問題中已經描述了答案：很容易找到碰撞

假設你在數據庫中保存了hash("pwd")（你實際上做了一些不同的事情並不重要。現在，如果您在網站中輸入"pwd"，則可以輸入。但是如何檢查？同樣，"pwd"的散列是標記，並與數據庫中的值進行比較。但是如果有第二個字符串，例如"hello"和hash("hello") == hash("pwd")呢？那麼你也可以使用"hello"作爲密碼。所以要打破加密，你不需要找到「pwd」，你只需要任何具有相同散列值的字符串。你可以只搜索這樣一個字符串蠻力（我猜你可以根據hash的來源知識做一些優化）