paip.提升安全---网站登录密码明文传输的登录高危漏洞解决方案

最新推荐文章于 2024-05-06 22:45:00 发布
最新推荐文章于 2024-05-06 22:45:00 发布
阅读量1.1w 收藏 4
点赞数
文章标签: string 加密 解密 function login 浏览器
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/attilax/article/details/8003858
版权

paip.提升安全---绝大多数网站的登录高危漏洞解决方案

 

作者Attilax 1466519819@qq.com

 

WEB登录密码明文传输的严重性... 1

JS实现 RSA非对称加密算法... 1

加解密及传输流程... 1

后台产生一对公钥下发给WEB... 2

WEBJS调用公钥进行加密提交... 2

后台校验密码不能为空... 3

解密密码... 4

密码编码器pwdEncode大部分原码... 4

参考:6

WEB登录密码明文传输的严重性

今天,几乎所有的网站都有登录注册模块,登录就要输入用户名和登录密码,并且,用户名和登录密码都是明文传输的,这样就有可能在中途被别人拦截,尤其是在网吧等场合。

 

JS实现 RSA非对称加密算法

所以,很多安全要求较高的网站都不会明文传输密码,它们会使用https来确保传输过程的安全,https是用证书来实现的,证书来自于证书颁发机构,当然了,你也可以自己造一张证书,但这样别人访问你的网站的时候还是会遇到麻烦,因为你自己造的证书不在用户浏览器的信任范围之内,你还得在用户浏览器上安装你的证书,来让用户浏览器相信你的网站,很多用户并不知道如何操作,就算会操作,也能也不乐意干;另一种选择是你向权威证书颁发机构申请一张证书,但这样有一定的门槛,还需要付费,也不是我们乐意干的事。

 

所以使用JS来实现RSA加密是个很好的方法..我的网站是ASPNET.. 真正的难点在于用javascript

最低0.47元/天 解锁文章
attilax
关注
  • 0
    点赞
  • 4
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
HTTP用户名密码登录明文加密和解密方法(使用密钥形式)-HTTP密码明文扫描漏洞应对
qq_42755868的博客
09-19 4111
1、加密:可以根据情况用java或js加密 密钥可以配置化处理,这里我做显示处理了。 java方式: public static String encodePass(String oldPassword){ String passKey = "1234567890qwertyuiopasdfghjklzxcvbnm!@#$%^&*()-+=`~,./?|a"+""; String s = ""; char[] a = passKey.toCharArr
JavaScript基础教程 用户登录明文传输密码问题如何解决
小兵qwer的专栏
08-16 3462
2018-09-17 来自0791 摘要:本篇教程介绍了JavaScript基础教程 用户登录明文传输密码问题如何解决,希望阅读本篇文章以后大家有所收获,帮助大家对JavaScript的理解更加深入。 本篇教程介绍了JavaScript基础教程 用户登录明文传输密码问题如何解决,希望阅读本篇文章以后大家有所收获,帮助大家对JavaScript的理解更加深入。 < 用户登录页面,获取到...
浅谈“密码明文传输
热门推荐
→_→
07-19 1万+
一:漏洞名称: 密码明文传输 描述: 明文传输一般存在于web网站登陆页面,用户名密码采取明文传输并未采取加密(注意:一些软件如BurpSuite带有可加密的暴力破解!)容易被嗅探软件截取(如果加密方式是常见的加密也可以解密的(比如:MD5,RSA等--另外base64只是一种编码方式并不算是加密!) 检测条件: 已知Web网站具有登录页面 检测方法: 找到网站或者web系统登录页面。 通过过对网站登录页面的请求进行抓包,工具可用burp、wireshark、filder、.
前端登录密码加密传输
最新发布
luquinn的博客
05-06 625
由于页面没有做对于页面的权限处理,导致可以通过页面输入地址强行进入,校园安全检查是通过路由守卫配合菜单数据来进行权限的处理,在跳转页面时判断如果这次跳转的地址不在菜单列表与白名单中,表示没有权限,以这种方法完成权限的处理。首先前端会有一个公钥,后端会有一个私钥,公钥和私钥都是后端生成的,一般是在登录页面请求后端的公钥接口,以校园安全检查页面为例。因为系统登录页面没有添加验证码,所以解决方法是添加后端生成的图形验证码。项目登陆时,登录接口使用post请求,密码没有加密,明文传输。本次使用的RAS加密,
明文传输漏洞
夜行者的博客
02-18 3256
业务系统对用户口令等机密信息的保护不足,攻击者可以利用攻击工具,从网络上窃取合法用户的口令数据,从而登录系统执行非法操作。攻击者可以利用监听工具在网络中窃取合法用户的口令数据,从而非法获取系统的访问权限。 检测方法: 通过burpsuite工具拦截系统请求,查看请求中是否包含有敏感信息,检查敏感信息加密方式。特别需要重点检查的是用户口令、邮箱密码、用户私密信息(手机号、身份证号、银行卡号等)。 解决方案: 对系统内关于密码传输的信息需要做加密处理;建议采用国密算法,不要采用容易被破解的加密方法(如m
wireshark抓包明文传输密码账号
icecream_sheep的博客
10-15 1519
首先我们要打开wireshark,选择WLAN,然后开始打开开始捕获数据,进入界面,输入指令http.request.method==POST进行筛选,可以摁红色按钮进行暂停,进入电脑的命令提示符输入ipconfig查找自己的ID,然后登陆一个http(明文传输)的网站,输入账号密码。回到wireshark查看。我们就可以看到了: ...
实现密码明文的加密传输以及加密存储
zongmaomx的博客
02-04 4944
需求:用户在登录密码经常使用明文传输,在不安全的网络环境下,很容易造成密码泄露,而密码直接存储在数据库中,如果数据泄露,也会造成安全问题。 解决方法:前端给后端传输密码关键信息时,进行加密后再传输,后端解密验证,然后将密码加密后再存储到数据库中。 实现思路: 采用RSA非对称加密加密和解密密码传输,采用哈希加盐算法加密密码并存储 1.前端需要传输密码时,先向服务器获取一个加密公钥(加密密钥对由后端生成,以公钥为key,私钥为value存储在redis中)。 2.获取到公钥后,将密码进行加密,并将
PAIP-开源
05-01
PAIP(管道)是通用过滤器应用程序。 它使用插件来传输和转换数据。 它们可以嵌套,因此内部结构可能会变得非常复杂(非线性)。 命令行界面类似于编程语言,非常简单。
LiverCancerSeg:MICCAI 2019病理学大挑战-PAIP2019
05-04
要使用该代码,用户需要预先安装一些软件包。 $ sudo apt-get install openslide-tools$ sudo apt-get install libgeos-dev$ pip install -r requirements.txt预处理:1.下载幻灯片并解压缩下载所有50张压缩的幻灯片...
paip-lisp-pt-br:Norvig的Traduçãopara oportuguêsdo“人工智能编程范例”
02-22
人工智能编程范例(pt-br) 葡萄牙语编程入门(pt-br)做人工智能编程范式:彼得·诺维格(Peter Norvig,1992)的“普通Lisp案例研究” 。 在麻省理工学院就读的学生的自动授课资格。 VOCE颇得tambémquerer ...
paip-lisp:“人工智能编程范例”教科书的Lisp代码
02-25
人工智能编程范例 这是Peter Norvig(1992)写的《人工智能程序设计范例:Common Lisp中的案例研究》一书的开放源代码存储库。 版权已归作者所有,作者已根据MIT许可在此处共享。 这本书 这本书有以下几种格式: ...
Paysandu Newtab-crx插件
04-04
语言:português (Brasil) Bicolor,Paysandu带来的新星体验! ... 在网络上可以播放新照片,实时照片,视频,壁纸和...使jáo seu navegadorpadrãocom扩展到Paipãoenãoperca mais nada do MaiorCampeãodaAmazônia!
密码明文传输漏洞原理以及修复方法
it知识分享 free for nothing..
12-19 2217
密码明文传输漏洞 原理以及修复方法
网站密码明文传输解决方案js+java
六年级的叔叔
03-07 1万+
解决密码明文传输方案,基本有两种解决方案 1,将项目网站全站升级为https协议(如果要更谨慎,还需要加密)。 2,将密码进行加密后,在后台解密。 因项目升级https时间周期太长。将暂时替代方案改为RSA加密解密方式: 最简单的方案,前端加密,后端解密。未涉及到私钥签名等验证。但工具类内提供方法,相信各位一看即懂。 1,前端js引入jsencrypt.js(官网有下载资源。可免费下载...
WEB安全漏洞之关键信息明文传输漏洞
Agonie_25的博客
05-20 9698
漏洞说明 关键信息明文传输也是一个十分常见的漏洞。在前后端进行交互时,尤其是登录操作,需要注意对密码等关键信息进行加密,因为信息在传输过程中,可能会有被截获的危险。下面就针对扫描工具,给出几种方案。 修复方案 第一种 base64 严格来说,base64其实算不上加密?毕竟base64只是一种常见的编码格式,但是对于安全性要求不太高的系统,也可以使用base64来避免漏洞扫描工具报出“关键信息...
FTP漏洞利用
weixin_49340699的博客
10-23 2118
FTP(File Transfer Protocol,文件传输协议) 是 TCP/IP 协议组中的协议之一。 可他有一个不可避免的漏洞那就是FTP用户名明文密码验证。 FTP协议用于用户认证时客户端和服务器是通过明文进行交互的。 实验 先使用kali连接靶机的21端口 同时打开wireshark抓包ftp 可以发现传输明文 则我们就可以使用工具arpspoof进行arp嗅探冒充网关对目标ip为192.168.19.106的主机进行arp欺骗 arpspoof -i eth0 192.168.1.1 -t
敏感信息明文传输相关问题小结
18年3月萌新白帽子
12-24 1万+
最近在工作中,由于同事对敏感信息明文传输这个漏洞认识不深,导致工作出了一些问题。经过一番研究后,发现了其中的一些小知识点,在这里跟大家分享下,具体情况是这样的: 1.我们在做安全测试的时候,经常可以通过Burpsuit抓包看到一些以明文方式呈现的敏感信息,比如在页面登陆处,我们输入账号密码,通过Burpsuit抓包,可以看到如下类似的数据包。   可以看到在数据包中,用户登陆用的账号和密...
常规web渗透测试漏洞描述及修复建议
weixin_34150830的博客
11-12 1770
Apache样例文件泄漏 测试方法   在链接的根目录中添加examples或者docs目录进行访问判断! 漏洞描述  apache一些样例文件没有删除,可能存在cookie、session伪造,进行后台登录操作 修复建议  1、删除样例文件 2、对apache中web.xml进行相关设置 弱口令 测试方法   先手工尝试一些最基本的弱口令,如admin...
web渗透--ftp暴力破解,明文、嗅探安全
朝阳似锦 晖映山河
08-27 1524
一、 FTP用户名密码暴力破解 1、知道用户名和密码nc直接相连 2、知道用户名不知道密码 1、medusa工具 medusa -d 可以查看可以破解模块都有什么 medusa -h IP地址 -u 用户名 -P 字典 ftp 二、FTP用户名明文密码验证 1、FTP协议中用户认证的过程,客户端和用户端都是采用的明文进行交互信息。验证FTP登录过程中明文传输用户名和密码。 2、用wireshark...
CEOPAIP酒店智能网络广播系统解决方案.docx
03-11
CEOPAIP酒店智能网络广播系统解决方案.docx

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值