如果一个网站后台能有机会接触到用户的明文密码,那就是流氓行为!

最新推荐文章于 2024-07-19 14:11:18 发布
最新推荐文章于 2024-07-19 14:11:18 发布
阅读量9.9k 收藏 5
点赞数 3
分类专栏: S1: Web s2: 软件进阶 s2: 后台开发 s4: 计算机网络 S5: 互联网/电商 S5: IT安全
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/stpeace/article/details/78073591
版权

         在早几年, 很多网站都用明文来存用户的密码, 结果被拖库了, 裤子脱了, 用户密码被泄漏, 然后就洗库、撞库, 黑产富得流油。 呵呵哒。

         后来, 开发人员学学乖了, 传输和存储都不用密码的额明文, 而采用md5值, 这样似乎就解决了问题。 网站后台也不知道用户的密码。

         可是, 有一种表, 叫彩虹表, 能根据md5的值反解密码, 于是, 开发人员又学乖了, 采用加盐方式, 让彩虹表几乎无法破解。 这里必须要用随机盐! 

         在如上方式下, 网站的开发人员也没有办法知道密码, good

         

         但是呢? 有的网站想了另外一个方法: 传输的时候, 还是用明文密码, 不过用https进行传输, 然后在后台服务端仍然能获取用户的明文密码, 然后对这个密码进行哈希或者加密, 存储在数据库中。 我就问一句: 不怕内部人员泄密吗? 不怕内外勾结吗?

        所以, 我还是那个观点:如果一个网站后台能有机会接触到用户的明文密码,那就是流氓行为!


        不说了。


涛歌依旧
关注
专栏目录
Web渗透攻击实战(2)—获取网站后台登录用户密码
请大家直接把问题写在评论区或留言,不要只说一句"你好 或 在吗",我会尽快回复的。
09-11 9338
接上一篇内容: 渗透攻击实战(1)—成功渗透台湾某净化设备公司官网 写在前面 作为一个防御型白帽黑客​ 你一定要知道黑客的进攻套路 才能有相应的防御措施 声明:只做测试,发现对方的漏洞,并不进行破坏性操作 信息汇总 漏洞汇总: 1、存在SQL注入漏洞2、SQL注入查询长度为9个字段,即 union select 1,2,3,4,5,6,7,8,93、网站无错误回显,SQL执行错误显示空白页面 数据库信息: 1、数据库版本:mysql 5...
Django解决扩展用户表时,后台Admin显示密码明文的问题
weixin_34060299的博客
03-13 1670
小生博客:http://xsboke.blog.51cto.com -------谢谢您的参考,如有疑问,欢迎交流 Django解决当扩展用户表时,用户继承AbstractUser后,后台Admin会显示密码明文的问题 先看项目列表 1、今天在写一个扩展Django默认的用户表功能时,遇到了一个问题.先给大家看一下我写的,扩展用户表的models...
听说,有些网站明文存储用户密码
u014023993的专栏
05-06 2071
前段时间爆出 Facebook 明文存储用户密码,多达 6 亿用户,而它的用户总数是 27 亿,占比 22 % 。 看到这个消息,是不是很震惊? 无独有偶,之前有听过很多银行系统的密码也是明文(真假没有验证)。 在读书时,忘记学校网站密码后,直接打电话给 IT 人员,IT 人员让我说出可能的密码,然后他会告诉我是否正确。那时候我怀疑密码明文存储的,虽然也没能验证。为什么怀疑是明文,怎么可能...
Wireshark分析明文账号、密码登录
inskeyzh的博客
11-08 8978
一、准备 Wireshark (如未安装Wireshark,可参考以下链接 Wireshark下载安装教程_Qi2456的博客-CSDN博客_wireshark) 二、Wireshark配置准备 1.打开Wireshark,选择捕获接口。 这里小编使用的是校园网,所以选择“WLAN”。 2.配置显示过滤器 进入捕获接口,会发现Wireshark正在捕获经过该接口下的数据包,这些数据包很凌乱,所以需要使用显示过滤器。 在“应用显示过滤器”一栏中输入 http.request.method.
解决系统明文传输的问题(亲测有效)
最新发布
tlovet_1314的博客
07-19 1106
解决明文传输问题
http协议:明文传输
wyzqhhhh的博客
04-12 1999
HTTP协议(超文本传输协议),它是基于TCP协议的应用层传输协议,简单来说就是客户端和服务端进行数据传输的一种规则。https:具有安全性的ssl加密传输协议HTTP是一种协议,HTTP协议本身不会对发送过的请求和相应的通信状态进行持久化处理。这样做的目的是为了保持HTTP协议的简单性,从而能够快速处理大量的事务, 提高效率。然而,在许多应用场景中,我们需要保持用户登录的状态或记录用户购物车中的商品。由于HTTP是无状态协议,所以必须引入一些技术来记录管理状态,例如Cookie。
django admin后台添加用户登陆失败、用户密码明文、修改后台显示内容等
weixin_45246327的博客
04-29 2974
django项目中,当我们创建了user模型类,并生成了超级管理员,之后我们进入到admin后台页面中,添加一个用户,再去login页面登陆时,会提示我们 用户名或密码错误。 那么问题来了,这是为什么呢? 这时,我们第一时间会想到去数据库中查看,就会发现,我们创建的新的用户密码明文,而在我们登陆页面传过来的密码都是经过加密的,这当然是对不上了。 在app目录下的admin.py中简单的注册模型类是不行的,我们还需要导入UserAdmin,再新建一个类继承UserAdmin,并在新建的类中添加我们想要显示
解决Django自定义User后,自admin/xadmin新建用户密码明文问题
Midorii的博客
08-11 2212
在使用Django时,常常会遇到需要自定义User的情形 # myauth/models.py from django.db import models from django.contrib.auth.models import AbstractUser class MyUser(AbstractUser): id = models.AutoField(verbose_name="id", primary_key=True) username = models.CharField(m
网站安全之密码明文传输漏洞
owen_william的博客
03-26 2万+
1.  说明问题      相信关注笔者的读者应该有看过笔者之前写过的一篇文章——《keytool的用法》.这篇博客是介绍了如何生成系统使用的证书。而这个证书是在https中使用的,对于https的地址我们不用担心密码在传输时出现漏洞,也就是被别人强制性拦截然后获取。它在传输时是会加密的。但是对于http的协议就没那么好了,如果你不做一些工作的话,密码在传输的时候,很容易被拦截工具拦截,然后就可
Wireshark 分析明文账号、密码登录过程
weixin_52387112的博客
12-08 1093
1.打开Wireshark,选择捕获接口 根据网络连接选择捕获接口,我主机连接校园网,所以选择“WLAN” 2.输入过滤语句 进入捕获接口,发现wireshark 正在捕获的数据包很凌乱 在“应用显示过滤器”输入框输入过滤语句“http .request.method=="POST" ” ...
用户密码明文传输
12-21 2142
1.解决思路 采用RSA非对称加密,页面js公钥加密,后台私钥解密。 2.实现代码 参考:https://www.cnblogs.com/nanyangke-cjz/p/5898361.html
如果你在每个平台的密码都一样,那你危险了
Wendy的博客
01-24 1239
近日,网上再次爆出某售票软件泄露数千万条用户信息暗网售价炒到 40 万元,距离上次京东泄漏数千万用户信息事件也才过去一年多一点。 你的信息是否也在其中? 也许你会说:“我既不买票也不用京东”。那只能说明这次信息泄露不包括你的隐私,但不能证明你的隐私在其他平台没有被泄露。你能看到这篇文章,说明你是一个互联网的用户,使用互联网就有信息泄露的风险。 售票软件和京东只是被爆出来的代表,大企业尚且如此,那么...
渗透测试(二):敏感信息明文传输
没有梦想何必远方#
04-30 3069
测试准备 我们以https://demo.stylefeng.cn/为例 打开BurpSuite工具,并将请求拦截开关打开 开始测试 点击登录按钮,在BurpSuite工具拦截登录请求 在上图中,username、password信息都为明文传输,我们可以获取到用户名和密码,这样黑客就得到了有用信息。并且我们可以修改此信息,例如我们将admin修改为admins,那么访问后台...
SHA256加密之显示明文密码的处理方法
热门推荐
一个人的博客
06-15 3万+
不过如果你是开发人员,那么你是可以做一些处理的,因为SHA256加密后是256位,也就是64个字符,所以可以从这里下手。解决方法就是将密码隐藏到加密后的密文中,你可以设置一套只有自己知道的排序方式,那么当你要解密后,你就可以通过自己的这套排序方式将密码"挖"出来!这样的处理方法确实显得有点草率,不过确实是解决了我的问题,不过安全系数比较低。所以可以再复杂一点,原理也就是将密码拆开成字符,按照一定的规则插入到密文中,解密的话就按照这样的规则取字符拼接就行了。写的有点复杂,逻辑有一点乱,不过还是能用的!
利用JavaScript书写代码并用HTML格式:制作一个能显示和隐藏密码明文的简单网页
05-19
这里使用了一个简单的 JavaScript 函数 `togglePasswordVisibility()` 来切换密码输入框的类型。当复选框被选中时,密码输入框的类型被设置为“text”,从而显示密码明文;当复选框被取消选中时,密码输入框的类型被...
评论 5
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值