网站安全登录 web应用安全登录 密码 防截获

声明:我对这一块非常不熟悉,这里提出的方案只是小弟一个想法而已,希望各方高手帮忙指出问题所在。

难题:

平时web应用,网站,一般都有用户登录这个功能,那么登录的话,肯定涉及到密码。怎么保证用户的密码不会被第三方不法之徒获取到呢?

不法之徒的途径肯定多了,高级点的,直接挂马啊,客户端木马啊。但这里不考虑这么多,就假设网页和客户端都是安全的,那么怎么防止网络中被截获呢?

原始方法:

一般如果是企业内部应用,没什么安全要求,就直接不管了。账号和明文密码发送~~了事~~

安全方法1:

post之前,先把密码用DES加密,到服务器解密。

问题:一旦被截获了key,很可能密码还是被人解密出来~~~

安全方法2:

数据库存的是密码的MD5散列值,每次post前先MD5散列。这样就可以避免被人解密密码了。

问题:好吧,我不解密你密码了。我直接重放攻击,你发什么给服务器,我就发什么到服务器,还不一样可以假冒你登陆。

安全方法3(暂时我想到比较安全的):

1、数据库存的是密码的MD5散列值(防止被人直接通过数据库入手)

2、每次打开登陆页面,随机给用户一个RSA公钥(为了保证效率,可以先生成几百个KEY对)

3、用户post密码前,用公钥加密。(即使被截获了公钥,密文也无法破解,数学证明的~~~嘿嘿。同时,即使不法者重放攻击,发送同样的密文到服务器,因为每次的公钥不一样,所以还是无法登陆)

4、由于只有几百个KEY,为了防止不法者不断的尝试,也许会碰巧遇上同一个公钥。那么还需要加入5次登陆失败就封账号30分钟的措施~~~(嘿,看你怎么试。当然,如果可以保证每次key都不一样,那么这里也可以跳过了)

5、服务器拿到公钥加密后的密码密文,用私钥解密,再散列,匹配数据库的密码MD5值~~完成·~

一些可用资源:

http://www.jcryption.org/

http://www.michalfranc.com/articles/jcryption.html

搞掂~~

参考一下HTTPS的原理:(http://zhenggm.iteye.com/blog/558785)

HTTPS通信过程的时序图如下:

图3 HTTPS通信时序图

本文参与腾讯云自媒体分享计划,欢迎正在阅读的你也加入,一起分享。

发表于

我来说两句

0 条评论
登录 后参与评论

相关文章

来自专栏北京马哥教育

openssl创建CA、申请证书及其给web服务颁发证书

一、创建私有的CA 1)查看openssl的配置文件:/etc/pki/tls/openssl.cnf ? 2)创建所需的文件 touch /etc/pki...

3985
来自专栏FreeBuf

一封伪造邮件引发的“探索”(涉及钓鱼邮件、SPF和DKIM等)

0x00. 引言 我用swaks 发送一封以我们公司CTO为显示发件人(腾讯企业邮箱)的伪造邮件给我的一个同事,邮件的内容就是让这位同事去CTO的办公司一趟,没...

9316
来自专栏FreeBuf

TLS 1.3如何用性能为HTTPS正名

序•魔戒再现 几天前,OpenSSL官方宣布即将发布的新版本 (OpenSSL 1.1.1) 将会提供 TLS 1.3 的支持,而且还会和之前的 1.1.0 版...

2726
来自专栏黑白安全

Web安全测试学习手册-业务逻辑测试

1.2 验证码过于简易时效性过长,接口未做限制(一般为纯数字4-8位数,时效性长达30分钟以上可以对验证码进行枚举)。

1112
来自专栏吴伟祥

https和http有何区别? 原

  HTTPS(Secure Hypertext Transfer Protocol)安全超文本传输协议 它是一个安全通信通道,它基于HTTP开发,用于在客户计...

922
来自专栏FreeBuf

安全科普:HTTPS初探

* 本文作者:HPT @Dragon团队,本文属FreeBuf原创奖励计划,未经许可禁止转载 本篇主要为大家带来的是HTTPS的内容,相信大家已经从各种途径看过...

1978
来自专栏黑白安全

中间人(MITM)攻击

中间人(MITM)攻击是一个通用术语,表示当犯罪者将自己置于用户与应用程序之间的对话中时 - 窃听或模仿其中一方,使其看起来好像是正常的信息交换进展中。

1282
来自专栏网站那些事

一段php小代码,监控SSL证书过期问题

Let’s Encrypt ,它拥有较短的有效期(三个月);通过 acme 协议,API 自动颁发证书;让一切 web 流量加密的理念;知名机构的支持; htt...

44111
来自专栏java一日一条

30分钟让网站支持HTTPS

我不是安全专家也不是搞服务器的,所以这对我而言也是一种有趣的经历,而记录这个过程可以让其他任何人也能很快地做到这些。包括一些暂时的停顿时间,我总共只花了20-3...

1574
来自专栏FreeBuf

BlackHat议题解析:Windows程序的数字签名校验“漏洞”

* 本文原创作者:维一零,本文属FreeBuf原创奖励计划,未经许可禁止转载 在今年的黑帽大会上,国外的一个安全研究员展示了如何通过Windows的数字签名by...

2907

扫码关注云+社区