登录一般需要三个信息:用户名,密码,验证码
攻击思路:
1.抓包获取用户名和密码
2.破解数据库获取用户名密码
对于1
如果只是将密码用md5转一下,那么抓包者还是可以攻击。
将密码的MD5和验证码一起md5运算,抓包者不能重放攻击,但是数据库不安全了。
对于2
需要存储密码的信息摘要。这个必须是前端传输进来的值的运算结果
1和2如何兼得?
因为算法是暴露的,任何计算方式都是别人容易知道的。
一种分割密码的思路
比如密码长度最小8位 设为password ,验证码是code 从中间分成两部分,前一部分在数据库中存1次md5:md5(pass),
后部分存2次md5: md5(md5(word))
登录时,前部分针对抓包攻击,后部分针对数据库泄露攻击。
前一部分传输md5(md5(pass)+ code),后一部分传输md5(word).
服务器同时比较前一部分和后一部分,如果匹配则登录成功。
这样既防止重放攻击,又能防止数据库泄露攻击。
当然这里只是一种思路,在https的环境下避免了重放攻击,无需这么麻烦。
登录一般需要三个信息:用户名,密码,验证码 攻击思路:1.抓包获取用户名和密码2.破解数据库获取用户名密码 对于1...
最近做完系统登录模块的重构,登录这块的核心在于安全的控制。下面通过本文来总结一下登录模块的设计实现,以及哪些方...
本文将从以下几个方面介绍单点登录问题,和单点登录的解决方案: http 协议的特性集群环境下的 session 共...
设计http://t.cn/RHn2KWo设计 登录http://img01.sogoucdn.com/app/a...
Xshell是一个安全终端模拟软件,可以进行远程登录。我使用XShell的主要目的是在Windows环境下登录Li...
登录接口是大多数产品的第一道安全防线,至关重要,如果让你帮助开发设计安全的登录机制,你会如何设计呢? ...
Day2 登录linux环境的服务器 在windows使用xshell软件登录linux服务器 登录方法:http...
MEM接口问题 使用的是4.70环境:http://192.168.4.70:80/ 登录接口:有时登录成功,有时...
普通登录案例 1)显示登录页面 a)设计url,通过浏览器访问http://127.0.0.1:8000/logi...
用密码登录SSH好不方便,并且安全性不高,为了提升安全性那我们就用密钥登录. 本地环境:OS X,估计是Linux...
本文标题:一种http环境下安全登录的设计
本文链接:https://www.haomeiwen.com/subject/eckryhtx.html
网友评论