敏感数据明文传输(密码)
来源:互联网 发布:淘宝如何找货源 编辑:程序博客网 时间:2024/05/30 02:23
1、 加密过程
加密分为单向和双向。拿登录功能来说,密码的加密发送。双向加密就是可逆的,这边加密,那边解密后跟数据库里的密码比对。单向是不可逆的,这边加密,那边无法解密,比对的方式是从数据库里拿出该用户的密码,进行同样的加密,比对加密后的值是否跟用户提交过来的加密串(散列)一致。由于加密算法需要发送到浏览器端来执行,因此双向加密对于http的client端来说不可行,最好的办法是单向加密,单向加密最常用的就是做MD5散列。
2、 MD5加salt(盐)
MD5传过去,服务器端把数据库里的密码做MD5后两相比对,等于还是拿POST过去的串原样比对。那我截获MD5串以后,原样POST给server端,不是一样能通过验证?我说,我们可以加点盐(salt),就是在做MD5之前给密码原文加上某个字符串后再做MD5运算。要点在于,这个salt,是每次提交之前跟服务器端实时申请的,而且会在很短的时间内自动过期(因为申请和验证之间的时间间隔只是两次连续http请求的时间,所以这个过期时间可以很短),这个salt只用一次,验证之后无论成功与否都会在服务器端强制作废。这样的话,截获任何一次MD5加密串,都无法用于另一次登录验证。
解决方案:(例如登陆)
前台: MD5(密码+验证码 ) 加密
<script type="text/javascript" src="jsLib/md5.js"></script>
value = md5(pwd+rand);
阅读全文
0 0
- 敏感数据明文传输(密码)
- 网站安全之密码明文传输漏洞
- 解决DiscuzX3.3登录页面密码明文传输问题
- 明文密码?
- 明文密码
- paip.提升安全---网站登录密码明文传输的登录高危漏洞解决方案
- 可怕的明文密码
- 明文显示密码
- 明文显示密码
- Chrome明文存储密码
- 11.明文密码
- 已知明文破解密码
- PowerShell: 隐藏明文密码
- 敏感数据加解密及传输方案
- telnet 明文传输的验证
- mimikatz抓取明文密码(Windows Server 2008 R2 x64)
- 轻松获取windows 明文登录密码(入侵提权后)
- 加密算法(自己写)java自己给明文密码加密
- centos7安装zookeeper3.4.9集群
- C3D使用指南
- PDO预处理类中采用名称索引来执行SQL语句
- spring 中 isolation 和 propagation 详解
- 找不到jar包的解决方法
- 敏感数据明文传输(密码)
- 页面获取Spring Security登录用户
- asp.net mvc ToList 转换为非委托类型错误
- xxx
- iOS 关于sim卡
- Android 知识点记录
- 关于contiki中进程间沟通时使用到的data参数
- FFmpeg日志相关
- 三种排序算法