看好你的门-客户端传数据(7)-不安全的固定加密
来源:互联网 发布:java类库大全 编辑:程序博客网 时间:2024/06/01 14:53
首先需要声明,本文纯属一个毫无远见和真才实学的小小开发人员的愚昧见解,仅供用于web系统安全方面的参考。
1、 简单说明
在安全性的系统来说,有固定加密总是一件好事情。
实际上,固定加密也是一种常见的方法。动态加密虽然好,但是在大型系统中,动态加密要经济合理的实现确实不容易。
2、 一个使用简单固定加密的例子
<%@ page language="java" import="java.util.*" pageEncoding="UTF-8"%><!DOCTYPE HTML PUBLIC "-//W3C//DTD HTML 4.01 Transitional//EN"><html><head><title>看好你的门-阿饭同学 </title></head><body> <form action="aShopPrice.action" method="post" name="form1"> 商品:华为P7 <br> 价格:2199元 <br> 数量:<input type="text" name="quantity" > <br> <input type="hidden" name="price" value="2199" > <input type="hidden" name="price_token" value="EG77SDFEWRGEDF228" > <input type="submit" value="确认购买" /> </form></body></html>
价格虽然也是放在隐藏字段中,但是加了一个价格的验证字段,使用了MD5加密,理论上来说,几乎不可能被破解。
这也是常用的一种反CSRF方法。
3、 被攻击
对这种交易类网站来说,这一条信息是可见的,其他的信息也是可见的。
如果加密的强度不够,很容易被破解;
如果加密的强度足够,要破解很难,那么进行简单的偷天换日就能破解: 把另外一个更加便宜的产品的价格和加密价格复制过来,放在这里提交。
0 0
- 看好你的门-客户端传数据(7)-不安全的固定加密
- 看好你的门-客户端传数据(1)-不安全的隐藏表单字段
- 看好你的门-客户端传数据(2)-不安全的URL参数
- 看好你的门-客户端传数据(3)-不安全的http信息头
- 看好你的门-客户端传数据(6)-不安全的cookie
- 看好你的门-客户端传数据(8)-不安全的HTML表单限制
- 看好你的门-客户端传数据(9)-不安全的js脚本限制
- 看好你的门-客户端传数据(10)-不安全的HTML禁用元素
- 看好你的门-客户端传数据(10)-不安全的HTML禁用元素
- 看好你的门-客户端传数据(4)-利用浏览器调整http的referer
- 看好你的门-客户端传数据(3)附录-http信息头说明
- 看好你的门-客户端传数据(5)-用java修改referer
- 看好你的门-攻击数据存储区(2)-SQL注入常用的一些技巧
- 看好你的门-攻击数据存储区(3)-攻击PreparedStatement的执行
- 看好你的门-保护数据存储区(2)-查看PreparedStatement最终执行的SQL
- 看好你的门-攻击数据存储区(1)-SQL拼接被避开登陆
- 看好你的门-攻击数据存储区(4)-XPath注入攻击
- 看好你的门-攻击数据存储区(5)-LDAP注入攻击
- 看好你的门-客户端传数据(6)-不安全的cookie
- HTTP请求返回的状态码
- 排序算法
- 基于Simulink的FIR滤波器设计与仿真--初识matlab
- iOS 6 新特性 Auto Layout
- 看好你的门-客户端传数据(7)-不安全的固定加密
- 循环-02. 计算圆周率(15)
- 自学宝典:10个学习Android开发的网站推荐
- Windows网络命令net
- 执行yiic webapp命令时报错:php.exe不是内部或外部命令,也不是可运行的程序
- 优秀的开源项目
- java中HashSet详解
- 看好你的门-常用WEB安全术语(1)-CSRF攻击
- C语言中 字符、数组、字符串、指针——学习IOS你必须了解