前幾天跟朋友一起討論關於傳輸過程加密的問題,http本身的設計就是無狀態。現在很多的**都在傳輸過程中都沒有進行加密,只是資料庫進行了加密,而這樣的話,別人通過嗅探的話,還是可以嗅探到你的明文密碼。
比如:你的一台機器ip是. 23.22.2.3另一台機器是23.22.2.4,在同乙個閘道器下23.22.2.3的這是乙個**的伺服器,而我就可以用23.22.2.4這個伺服器來嗅彈,23.22.2.3 80埠的資訊 登入的使用者名稱,等等這些資訊。並且嗅探到的還是明文,先前我測試了dz dz也在傳輸過程中沒有加密,他不過就是資料庫加密比較另類一點,難解密!也就是用md5+salt來加密的。
也許有人會說,為何不用https加密呢?
1、https的是收費的。
2、https也可以突破嗅探 至於怎麼樣突破 這裡的就不在多說。
3、用https之後網頁會很卡,現在我們討論的並不是資料庫加密,而是傳輸過程的加密, 先前我自己想到的方法是 在客戶端js加密 而想到這個辦法後 有出現了種種的問題 問題如下: js的方法別人在網上已經說過。
1.js加密的問題是,不論單向雙向,加密方式沒辦法隱藏,會被人家看到。
2.例如我密碼是 123abc,輸入表單後傳送,js給加密成了 亂碼。 發給服務端再加密下和資料庫比對。問題來了,如果入侵者截獲到js加密後的亂碼,他可以禁用js,然後直接把亂碼輸入表單後傳送,效果和直接得到使用者密碼發生一. js加密這裡的作用除了黑客不知道密碼是啥外,其他都沒用,亂碼也可以登入。
js的加密的直接pass掉。這裡根本行不通!
跟朋友又討論下 想到了其他的辦法 **驗證碼 從而進行加密。
流程:使用者輸入密碼->js提交伺服器md5(md5(pass)+驗證碼)->伺服器查詢出pass然後md5(pass+驗證碼)『資料庫裡pass=md5(pass)』->刪除驗證碼的session
**朋友寫的,我只是跟他討論了入侵者用到的手法而已。提供給了思路。
黑客入侵 認識黑客入侵的利器「嗅探神器「
ont en tcontent conten t 享入 侵微軟在 wi n2000,x p中設定 的這個功 能對個人 使用者來說 幾乎毫無 用處。反 而成了黑 客入侵n t架構操 作系統的 一條便利 通道。如 果你的操 作系統存 在不安全 的口令,那就更可 怕了。一 條典型的 入侵流程 如下 1 用...