前几天跟朋友一起讨论关于传输过程加密的问题 http本身的设计就是无状态. 现在很多的网站都在传输过程中都没有进行加密 只是数据库进行了加密 而这样的话 别人通过嗅探的话 还是可以嗅探到你的明文密码。
比如 你的一台机器ip是. 23.22.2.3 另一台机器是23.22.2.4 在同一个网关下 23.22.2.3的这是一个网站的服务器 而我就可以用23.22.2.4这个服务器来嗅弹 23.22.2.3 80端口的信息 登录的用户名 等等这些信息。并且嗅探到的还是明文, 先前我测试了dz dz也在传输过程中没有加密, 他不过就是数据库加密比较另类一点,难解密 也就是用md5+salt来加密的。 ps(觉得我在这里乱说 自己下载dz 的论坛安装之后 在后台登录 用抓包工具进行抓包查看是不是明文 自己动手 丰衣足食)。
也许有人会说 为何不用https加密呢
1.https的是收费的
2.https也可以突破嗅探 至于怎么样突破 这里的就不在多说。
3,用https之后网页会很卡,
现在我们讨论的并不是数据库加密,而是传输过程的加密, 先前我自己想到的方法是 在客户端js加密 而想到这个办法后 有出现了种种的问题 问题如下: js的方法别人在网上已经说i过
1. js加密的问题是,不论单向双向,加密方式没办法隐藏,会被人家看到
2.例如我密码是 123abc,输入表单后发送,js给加密成了 乱码。 发给服务端再加密下和数据库比对。问题来了,如果入侵者截获到js加密后的乱码,他可以禁用js,然后直接把乱码输入表单后发送,效果和直接得到用户密码发生一. js加密这里的作用除了黑客不知道密码是啥外,其他都没用,乱码也可以登录。
js的加密的直接pass掉。这里根本行不通
跟朋友又讨论下 想到了其他的办法 捆绑验证码 从而进行加密。
流程 用户输入密码 -> js提交服务器 md5(md5(pass)+验证码)->服务器查询出pass然后md5(pass+验证码)『数据库里pass=md5(pass)』->删除验证码的session
这个方法我也测试了 确实可行
发出捆绑验证码的 从而进行传输加密的代码
打包下载。。
http://dl.dbank.com/c0a94csv5e 代码我朋友写的 我只是跟他讨论了入侵者用到的手法而已。提供给了思路。
要是还其他人还有什么好的想法 可以一起讨论。 前提是保证http协议下 程序员能做到的 并不在服务器上搞。只是用代码搞定,
欢迎拍砖。
为何发不了图片 很郁闷,
原文地址:
http://bbs.lampbrother.net/read-htm-tid-121126.html
分享到:
相关推荐
一款集局域网入侵查看嗅探为一身的强大软件,破解版的。
嗅探原理与反嗅探技术详解WEB安全电脑资料.docx嗅探原理与反嗅探技术详解WEB安全电脑资料.docx嗅探原理与反嗅探技术详解WEB安全电脑资料.docx嗅探原理与反嗅探技术详解WEB安全电脑资料.docx嗅探原理与反嗅探技术详解...
软件介绍本软件可能会被杀毒软件检测为hack工具 SniffPass可以嗅探(也就是捕捉)本机和局域网中(前提是你要在出口网关上运行SniffPass)进行嗅探POP3, IMAP4, SMTP, FTP, 和 HTTP等协议的密码。
sniffer局域网嗅探telnet和ftp账号密码.pdf
局域网密码嗅探器,功能强大
局域网密码嗅探器V2011已注册破解版
演示如何在交换机上嗅探密码,以加深大家的安全意识,重视加密的重要性。
sniffpass网络密码嗅探(WebFTPEmail)工具,可以用于局域网嗅探密码,可以嗅到ftp、web、email等的登录口令
可以嗅探到所有在局域网里工作的计算机的地址、密码、MAC地址等
信息安全导论课程实验-嗅探-密码学-缓冲区溢出.zip
网络嗅探工具.zip网络嗅探工具.zip网络嗅探工具.zip网络嗅探工具.zip网络嗅探工具.zip网络嗅探工具.zip网络嗅探工具.zip网络嗅探工具.zip网络嗅探工具.zip网络嗅探工具.zip网络嗅探工具.zip网络嗅探工具.zip网络嗅探...
网络嗅探器 网络嗅探器 网络嗅探器 网络嗅探器 网络嗅探器
Wireshark是免费的网络协议检测程序,支持Unix,Windows。让您经由程序抓取运行的网站的相关资讯,包括每一封包流向及其内容、资讯可依操作系统语系看出,方便查看、监控TCP session动态等等
谷歌资源嗅探插件
基本sniffer应用,但是很实用。很简单的技术。
·············找出占用磁盘空间的小鬼····························
如果你平时都使用路由器直接上网,时间长了,你还能记得你的宽带(ADSL)帐户名和密码吗?忘记密码后又该如何找回呢?别急,本文带你一同找回遗忘的ADSL密码。首先需要一台装有Windows Server 2003的电脑(虚拟机也...
Proxmark 3离线嗅探详细教程及工具,详细举例,并附带图片
资源嗅探软件.可嗅探任何影音资源 资源嗅探软件.可嗅探任何影音资源
本嗅探器是集数据包嗅探、网络地址嗅探、局域网内主机嗅探为一体的资源嗅探器,具有一定的参考价值。