登录认证模块之本地加密传输

最新推荐文章于 2023-09-17 09:41:30 发布
最新推荐文章于 2023-09-17 09:41:30 发布
阅读量704 收藏 1
点赞数
分类专栏: web攻防之业务安全
版权声明:本文为博主原创文章,遵循 CC 4.0 BY 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/qq_41901122/article/details/109137372
版权

本地加密传输

介绍

http

  • 超文本传输协议(HTTP)被用于在Web浏览器和网站服务器之间传递信息,HTTP协议以明文方式发送内容,不提供任何方式的数据加密。
  • 因此HTTP协议不适合传输一些敏感信息,比如:密码登录支付交易、敏感信息查询等环节。

https

  • Https协议是以通信安全为目标而创建的通信协议,即在HTTP协议下加入SsL(SecureSocketsLayer)安全套接层协议。
  • 简单来说,Https协议是由SSL+HTTP协议构建的可进行加密传输、身份认证的网络协议,它要比HTTP协议安全。

https通信步骤

  • 客户使用https的URL访问web服务器,要求与Web服务器建立SSL连接。
  • Web服务器收到客户端请求后,会将网站的证书信息(证书中包含公钥)传送一份给客户端
  • 客户端的浏览器与web服务器开始协商SSL连接的安全等级,也就是信息加密的等级
  • 客户端的浏览器根据双方同意的安全等级,建立会话密钥,然后利用网站的公钥将会话密钥加密,并传送给网站。
  • web服务器利用自己的私钥解密出会话密钥。
  • Web服务器利用会话密钥加密与客户端之间的通信
    在这里插入图片描述

不安全传输描述

  • 当系统对敏感交互操作业务未配置 Https协议,会导致攻击者可截取用户Web浏览器与网站服务器之间的HTTP传输报文,攻击者可以直接读取其中的敏感信息。

漏洞危害

  • 系统用户登录明文传输
  • 敏感信息明文查询
  • 支付交易明文传输

流程图

在这里插入图片描述

防御方案

  • 为存在敏感数据交互业务的应用服务器部署有效的SSL证书服务。

摘抄

为别人活着,也要为自己活着。

希望和悲伤,都是一缕光。

总有一天,我们会再相遇。

– 《云边有个小卖部》

星球守护者
关注
  • 0
    点赞
  • 1
    收藏
    觉得还不错? 一键收藏
  • 打赏
    打赏
  • 0
    评论
专栏目录
基于E2EE的无状态认证JsonWebToken算法、常用Web算法模块-易语言
06-14
JWT应用场景? 主要用于身份认证 1、相比xml而言json格式简单,jwt中已经有了你需要的全部信息,拿出来用就行。 2、同session相比,性能更好一些,省去了处理分布session的问题;对于大行其道的restful来讲,支持得很好;浏览器+app+pc,这种多终端开发,是很好的选择。 如果可以,新系统不再使用session保存用户信息。对于我们自己的platina开发平台,可以平滑过渡到jwet,让开发人员感觉不到。 JWT有什么好处? 1、支持跨域访问: Cookie是不允许垮域访问的,这一点对Token机制是不存在的,前提是传输的用户认证信息通过HTTP头传输. 2、无状态(也称:服务端可扩展行):Token机制在服务端不需要存储session信息,因为Token 自身包含了所有登录用户的信息 4、更适用CDN: 可以通过内容分发网络请求你服务端的所有资料(如:javascript,HTML,图片等),而你的服务端只要提供API即可. 5、去耦: 不需要绑定到一个特定的身份验证方案。Token可以在任何地方生成,只要在你的API被调用的时候,你可以进行Token生成调用即可. 6、更适用于移动应用: 当你的客户Duan是一个原生平台(iOS, Android,Windows 8等)时,Cookie是不被支持的(你需要通过Cookie容器进行处理),这时采用Token认证机制就会简单得多。 7、CSRF:因为不再依赖于Cookie,所以你就不需要考虑对CSRF(跨站请求伪造)的防范。 8、性能: 一次网络往返时间(通过数据库cha询session信息)总比做一次HMACSHA256计算 的Token验证和解析要费时得多. 9、不需要为登录页面做特殊处理: 如果你使用Protractor 做功能测试的时候,不再需要为登录页面做特殊处理. 10、基于标准化:你的API可以采用标准化的 JSON Web Token (JWT). 这个标准已经存在多个后端库(.NET, Ruby, Java,Python, PHP)和多家公司的支持(如:Firebase,Google, Microsoft). 11、避免因Cookie本地泄露导致的客户风险,由于用HTTP协yi头来传输JWT令牌,不会在客户电脑存储cookie信息。 12、有效降低sql数据库的压力,关键非安全的用户信息可以直接存储与JWT中,下次请求时只需要读取JWT中的数据,不必再去sqlcha询。 注意事项:本模块中生成的JWT令牌中的body区域的内容,前端只需要base64解码就可以获得body区的json,但是由于JWT的特殊构造,sign区的加密采用sha256加密,基本无需担心令牌伪造。 模块中包含了一些其他常见算法,如sign签名校验
密码应用安全性评估实施要点之二密码技术应用要求与实现要点(4)
Lapedius的博客
04-13 4115
应用和数据安全要求与实现要点总则实现要点概述1) 身份鉴别2) 访问控制信息和敏感标记完整性3) 数据传输保密性4) 数据存储保密性5) 数据传输完整性6) 数据存储完整性7) 日志记录完整性8) 重要应用程序的加载和卸载9) 抗抵赖10) 密码模块的实现 总则 应用和数据安全应用总则如下: ① 采用密码技术对登录用户进行身份鉴别。 ② 采用密码技术的完整性功能来保证系统资源访问控制信息的完整性。 ③ 采用密码技术的完整性功能来保证重要信息资源敏感标记的完整性。 ④ 采用密码技术保证重要数据在传输过程中的保
KaiwuDB云原生分布式数据库安全功能以及实现介绍
KaiwuDB 数据库
01-17 3147
KaiwuDB 可以通过znbase cert命令创建CA证书和密钥,再创建由CA证书签名的节点和客户端证书。当节点之间建立联系,或者客户端与节点建立联系时,它们使用CA证书来验证彼此的身份。
web漏洞-用户凭据明文传输
qq_35578446的博客
06-13 3394
当攻击者获取到这些数据之后,就可以用这些信息以合法用户的身份进入到应用系统中——甚至可能进入到应用系统后台中,一旦进入到应用系统中那么就可以获取更多的敏感数据,以及更有机会发现更多的漏洞。...
Linux身份鉴别机制实现分析
m0_74282605的博客
03-06 216
每个接口都对应四种服务类型,调用某种类型的API,就应该使用对应类型的服务模块,而对于服务模块来说,同样的,调用某种类型的SPI,就应该属于某种服务类型,在配置文件的编写中就需要注意是否是属于该服务类型。在系统中对用户进行身份验证可以说是系统安全性保护的第一道门槛,只有通过了用户身份验证,系统才会赋予不同的权限给用户,用户才能使用该系统资源。其结构图如图2-1所示。在/etc/shadow中所存放的用户帐号密码是经过加密的,所以当获得用户输入密码之后要通过crypt()这个函数来对密码进行同等方式的加密
密码加密传输
xixingzhe2的博客
08-13 6734
RSA加密
网站漏洞挖掘思路
Innocence_0的博客
09-17 236
未授权访问漏洞,是在攻击者没有获取到登录权限或未授权的情况下,不需要输入密码,即可通过输入网站控制台主页面地址或者不允许查看的连接便可进行访问,同时进行操作。
web安全基础
MrWiFi的博客
12-11 3043
VM相关操作 快照 虚拟机的克隆分为创建连接克隆和创建完整克隆 克隆和快照的区别 1.快照是对单一虚拟机的操作 2.克隆是进行虚拟机复制 在一定程度上两者都起到vm虚拟机状态保存。 无论是快照还是克隆都占用对应的储存空间,一般使用链接克隆和快照,占用小。 文件共享 VMtools工具用来增强物理机与虚拟机的互动 可以实现:自适应屏幕大小、文件拖动互传 在linux中安装vmtools,解压出文件,运行./vmware-install.pl 实现文件共享 添加共享文件夹
667-数据明文传输的安全问题
LINZEYU666的博客
10-09 1171
数据安全 在集群聊天服务器项目上,是明文的交互,采用的是Json做序列化和反序列化,从登录,注册的基本的业务开始,和后端的服务的交互,全都是明文的交互,相当于在浏览器上去访问web后端是用的https协议,数据确实是非常的不安全,我们可以通过加密, ...
python通过paramiko复制远程文件及文件目录到本地
01-21
paramiko是用python写的一个模块,遵循SSH2协议,支持以加密认证的方式,进行远程服务器的连接。利用该模块,可以方便的进行ssh连接和sftp协议进行sftp文件传输以及远程命令执行。 安装paramiko也很简单,我用的...
基于身份认证和多模式的AES保密通信协议C++源码(含项目说明).zip
最新发布
12-28
1. 该密码学大作业设计了一个高仿真的保密通信协议,全过程模拟真实用户访问状态,可以加密传输任意类型任意大小文件,自主选则 **CBC、CFB**加密模式,采用具有**保密性和认证性**的密钥分配协议,利用 RSA 公钥...
管理信息系统数据库安全体系设计(1).doc
02-27
其次在口令认证上,通过在应用程序中自定义的加密函数对用户输入的口 令在本地进行加密,加密后的口令在网络上传输到服务器端,在存储过程中通过相应的解 密函数解密该口令,这样口令以密钥的形式在网络上传输,以加密后...
网络安全技术课程设计.doc
06-09
信息加密、信息完整性校验 为有效解决办公区之间信息的传输安全,可以在多个子网之间建立起独立的安全通 道,通过严格的加密认证措施来保证通道中传送的数据的完整性、真实性和私有性。 SJW-22网络密码机系统组成 ...
GBase 8s 安全性(2)-身份鉴别
weixin_34421618的博客
08-31 1374
GBase 8s 安全性(2)-身份鉴别
web渗透--13--登录认证安全测试
武天旭的博客
09-12 9111
1、密码明文传输 1、漏洞描述 密码明文传输一般存在于web网站登录页面,用户名或者密码采用了明文传输,容易被嗅探软件截取 2、检测条件 确定一个或多个常用应用程序包含的可访问的管理界面。 3、检测方法 1、找到网站或者web系统登录页面或者敏感数据提交页面。 2、通过对网站登录页面的请求进行抓包,工具可用burp、wireshark、filder等等,分析其数据包中相关p...
敏感信息明文传输
yy
03-21 9169
网站使用了https,所以不存在嗅探的风险。但是登录框不存在验证码,且表单提交的数据未进行加密处理,导致存在暴力破解的风险。所以也存在密码明文传输问题。系统认证过程中用户名、密码等敏感数据未进行加密传输。网站使用不安全的 HTTP 方式传输网络数据。关于明文传输涉及两个问题。
通过加密连接将敏感信息发送到服务器,计算机网络相关知识
weixin_39684967的博客
08-13 642
1.OSI参考模型和TCP/IP模型OSI参考模型是ISO组织指定的网络互联的一个参考模型,总共分为七层,分别是:应用层、表示层、会话层、传输层、网络层、数据链路层、物理层。TCP/IP是现在通用的网络互联模型,总共五层,分别是:应用层(FTP、HTTP、DNS)、传输层(TCP、UDP)、网络层(ARP、ICMP)、数据链路层、物理层。2.TCP和UDP,以及两者的区别TCP:TCP是面向连接的...
csec硬件加密模块使用手册
06-24
### 回答1: CSEC硬件加密模块是一款高效、安全的硬件加密设备,广泛应用于数据安全保护、数字签名、网络传输、数据备份等领域。为帮助用户充分发挥硬件加密模块的威力,以下是使用手册: 一、基本概念与说明: 1. CSEC硬件加密模块采用FIPS 140-2认证芯片设计,符合国际安全标准; 2. 根据安装需求,CSEC硬件加密模块可直接连接计算机USB口或配备USB接口线连接; 3. 使用前,请先阅读《使用手册》,根据步骤操作; 二、使用方法: 1. 安装驱动程序:将驱动程序光盘插入计算机中,按照提示安装; 2. 插入CSEC硬件加密模块:将模块插入计算机USB接口; 3. 设定PIN码:第一次使用时,需先设定PIN码,PIN码须6-8位数字。设定完成后请牢记,不要遗忘; 4. 加密与解密操作:使用CSEC硬件加密模块进行加密与解密操作时,首先需要打开CSEC加密软件,输入正确的PIN码,然后选定文件进行加密或解密操作。 三、其他注意事项: 1. 使用前请保证本地计算机防病毒软件已关闭; 2. CSEC硬件加密模块离线状态下PIN码连续输入错误达到3次将会被锁定,请知晓; 3. 不要在插拔CSEC硬件加密模块时,进行大文件的传输操作; 4. 注意备份加密数据,以防数据丢失。 总之,CSEC硬件加密模块是一款高效、易用、安全的设备,使用中需慎重,遵循安全操作规程,以充分发挥其保护数据的作用。 ### 回答2: CSEC是一个硬件加密模块,用于加密数据存储和传输。这个模块比软件加密更加安全,因为它使用硬件加密技术并且数据无法被篡改。CSEC硬件加密模块具有以下功能: 1. 数据加密和解密: CSEC可以通过AES、DES和3DES算法对数据进行加密和解密。这种方法可以保证数据的机密性和完整性。 2. 安全存储: CSEC赋予用户安全存储数据和密钥的权限。同时,数据和密钥也可以随时被删除,以保证数据的安全性。 3. 防攻击:CSEC使用先进的防攻击技术,防止来自内部和外部的攻击。例如,CSEC可以检测是否存在热攻击和电磁攻击等物理攻击。 4. 安全性管理:CSEC支持安全性管理功能,可以限制操作员和管理者对数据的访问权限,以保证数据的机密性和完整性。 5. 简单易用:CSEC提供了简单的操作方法,用户只需按照操作手册一步一步地进行操作即可。 总之,CSEC硬件加密模块的出现有效地保障了数据传输和存储方面的安全性。该模块具有防攻击、高可靠性、高安全性等优点,是一种非常有效的数据保护手段。 ### 回答3: CSEC硬件加密模块使用手册是一份详细的指南,帮助用户了解如何使用和配置CSEC硬件加密模块。CSEC是一种高效而强大的密码学解决方案,可保护敏感信息的安全性。 首先,手册介绍了如何安装和配置CSEC硬件加密模块。为了保持最佳性能,需要确保它已正确安装且与其他设备的连接线路不受干扰。一旦安装并配置了模块,用户可以开始利用其各种加密功能。 手册的接下来几部分详细介绍了CSEC模块中各种加密算法的用途和工作原理。这些算法包括Symmetric Key Encryption(对称密钥加密)、Public Key Encryption(公钥加密)、Hash Functions(哈希函数)和Digital Signatures(数字签名)。对于每种算法,手册都解释了一种或多种相关的技术原理,包括如何生成密钥、如何加密和解密数据、如何签署和验证消息等。 此外,手册还介绍了在CSEC硬件加密模块中设置和使用密钥的方法。为了保护数据的保密性,需要把密钥存储在安全环境中,并采用正确的访问控制策略来管理密钥的使用权限。手册也详细介绍了如何备份和恢复密钥信息,以便在需要时能够重新生成密钥。 最后,手册还提供了一些其他工具和资源,可以帮助用户充分利用CSEC硬件加密模块的功能。这些资源包括用户手册、API接口文档、软件开发工具包和技术支持服务等等。 总的来说,CSEC硬件加密模块使用手册是一份详细而易于理解的指南,为用户提供了使用该模块的必要技能和知识。它涵盖了各种加密算法和相关技术,使得用户可以保护其敏感数据免受安全威胁。

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包

打赏作者

星球守护者

你的鼓励将是我创作的最大动力

¥1 ¥2 ¥4 ¥6 ¥10 ¥20
扫码支付:¥1
获取中
扫码支付

您的余额不足,请更换扫码支付或充值

打赏作者

实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值