在沒有使用ssl加密的系統中登入,登入的使用者名稱和密碼都是在網路中通過明文傳送,安全性較低,可以使用外掛程式形式對密碼進行加密後再傳送。
為了保證每次加密的結果的不同(防止跨域提交或擷取加密資訊偽提交),每次加密的key的一部分由伺服器端隨機生成,在頁面載入的時候由伺服器端生成通過頁面js指令碼傳遞給密碼輸入控制項,密碼輸入控制項根據控制項內建的密碼和傳入的密碼進行加密(如des),伺服器接收後再進行解密得到原密碼
如外掛程式中內建密碼為abc,伺服器端隨機生成的密碼為1346,那麼外掛程式在加密時即使用 abc1346密碼對使用者輸入的密碼進行加密,傳輸時資料被擷取後只能獲取的隨機密碼1346,而沒有完整密碼不能對加密的密文進行解密,而且加密的密文只對本次登入有效,而不能通過程式模擬登入,因為下一次的隨機密碼改變導致加密密文改變。有效保證登入的安全。
如需破解加密的密碼就需要破解登入外掛程式內建密匙及加密演算法,一方面增加了獲取資訊的成本,一定程度上提公升密碼的安全性。
html**
ekey 可以使用guid、時間等,不重複使用
伺服器驗證時用儲存在session中的ekey進行密碼解密,防止使用過期的ekey加密的資訊登入
Web安全 密碼安全
就是為了證明 你就是你的問題 計算機為了識別人的時候,需要密碼。資料庫被偷 伺服器被入侵 通訊被竊聽 http協議被竊聽 內部人員洩密 通過撞庫的方式 嚴禁明文儲存 防洩漏 單向變換 變換複雜度分析 密碼複雜度的要求 明文 密文 是一一對應的。雪崩效應 只要明文一點點不一樣,密文是完全不一樣的。密文...
web安全 應用表單密碼型別輸入啟用了自動完成操作
描述 在web應用form表單中,如果input標籤沒有指定 autocomplete 屬性為 off 則 autocomplete 的屬性會自動預設為on。當web應用form表單中的密碼型別為input標籤,autocomplete屬性為on時,使用者若提交了乙個新的使用者名稱和密碼時,瀏覽器將...
實驗吧 web 輸入密碼
首先開啟是乙個空白頁面,開啟控制台檢視 發現空白標籤 src 1.txt a 開啟1.txt if isset get a 看到strcmp首先應該想到的就是php的弱型別漏洞了,當有乙個對比引數是整數的時候,會把另外乙個引數強制轉換為整數。1assd 的轉換後的值是1,而 asdaf 是0 arr...