Web登录安全详解

最新推荐文章于 2023-10-11 13:53:40 发布
最新推荐文章于 2023-10-11 13:53:40 发布
阅读量766 收藏
点赞数
分类专栏: # 计算机网络
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/weixin_42375964/article/details/109132907
版权

不加密直接传输

会在HTTP报文的body中显示密码明文

 

对称加密

加密算法写在前端里,前端有被破解的风险

 

非对称加密

中间人攻击

SSL劫持攻击

将自己接入到客户端和服务器中间,将公钥替换成自己的公钥。

SSL剥离攻击

也要将自己设为中间人,与客户端HTTP明文会话,与服务器继续HTTPS会话

 

重放攻击

密码加密后,直接用密文请求,或者将报文改动一小部分再次请求。

HTTPS防止重放攻击

TLS是可以防止重放攻击的,具体是通过报文鉴别码MAC(Message Authentication Code)

timestamp和nonce的防止重放攻击方案

timestamp:

在http请求里加上timestamp参数,和其他参数一起进行数字签名。

服务器将timestamp的时间错与当前时间比较,如果小于60s则确认安全。

缺点:如果重放攻击发生在这60s之内,timestamp就没有意义了。

nonce:

在本地生成一个随机字符串(mac地址,时间戳,token之类),服务器接收到后,将

这个随机字符串保存在一个“集合”中,如果后来的请求的nonce参数在“集合”中

说明这是一个非法请求。

缺点:集合会越来越大,占用内存。

基于timestamp和nonce的方案

这两个方案一起用,大于60s清除一次集合。

 

数字签名

将明文hash生成摘要,然后将摘要用私钥加密后生成的签名和报文一起传给服务器,服务器用私钥解密签名,然后服务器hash报文对比签名看是否相同。如果相同说明报文没有被人动过。

 

参考文章:

https://blog.csdn.net/ad5226236/article/details/82830828

https://www.jianshu.com/p/776ed057343a

https://blog.csdn.net/koastal/article/details/53456696

Frequenk
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 1
    评论
专栏目录
web常见登录实现方式总结
BIGDgreen
07-10 5704
内含session+cookie登录和token登录
Web登录全面认识
java惊蛰的博客
05-25 1423
一、我们首先通过一个简单的HTML登陆例子去了解一下用户的信息是否安全 <form action = "http://localhost:8080/Application/login" method = "POST"> 用户名:<input name="username" type="text" /> 密码:<input name="password" type="password" /> <button type="submit"&gt
web 安全登录算法
ckxbbho0253的博客
08-28 137
摘自:http://hi.baidu.com/weiqi228/blog/item/922e961bbcc2c0188618bfb5.html 对于 Web 应用程序,安全登录是很重要的。但是目前大多数 Web 系统在发送登录...
登录页面安全测试点整理
最新发布
伤心的辣条
10-11 1000
1、检查密码数据中是否加密存贮 2、检查密码在传输过程中是否加密,接口或日志中 3、检查密码是否设置强度校验 4、检查密码是否有有效期,有效期到后是否提示修改,不修改是否无法正常登录
Web登录安全隐患分析和POC
jklbnm12的博客
10-22 484
这篇贴主要是分析了亚马逊,支付宝等登陆设计。指出登陆信息被截获并且用于重放攻击可能性,指出登陆设计存在改进空间。附近中是POC(Proof of Concept)程序,在浏览器内部抓取POST登陆信息,保存在c:\hijackhttp.txt中,亚马逊,支付宝的登陆信息可以明文重现。 OWASP对web登录设计给出的建议包括密码要具有一定的长度和复杂度,正确的登录提示,始终使用TLS加密通道传输密码防止密码被截获等。参考:https://www.owasp.org/index.php/Authentic.
CSS Web安全字体组合详解
09-24
在不同浏览器和操作系统之间保持字体的兼容性和一致性是设计师需要关注的问题,这就涉及到所谓的“Web安全字体组合”。 Web安全字体是指那些几乎在所有现代计算机上都预装的字体,这样可以确保无论用户使用何种设备...
web安全前端编码规范1
08-04
Web安全前端编码规范详解》 在Web应用开发中,前端的安全性同样至关重要。本文将详细阐述《Web安全前端编码规范》,旨在提升Web应用的安全性,预防潜在的攻击风险。 一、项目设计阶段的安全考虑 在项目初始设计...
ApacheShiroJava安全架构详解
02-24
借助Shiro易于理解的API,您可以快速轻松地保护任何应用程序——从最小的移动应用程序到最大的Web和企业应用程序,无所不能。为了能更好的学习和应用此框架,本文主要讲解其架构组成。ApacheShiro(最新版为1.3.2)...
web登录
weixin_46356321的博客
06-20 1507
登录 tests 模块 输入正确的:账号和密码,登录成功 账号不能为空,密码不能为空。 import time from selenium import webdriver from selenium.webdriver.common.by import By class Test: # 输入正确的:账号和密码,登录成功 def test_login_01(self): driver = webdriver.Chrome() driver.implicitl
android设置tls版本,关于android版本spice协议tls端口链接方式的bug问题
weixin_28678517的博客
05-27 330
最近在搞了搞android版本的spice协议.在andorid-spice官方github代码下载下来之后,编译成功并且顺利的运行在android系统上链接云桌面的时候,在非安全端口的情况下可以成功的链接到虚拟云桌面,但是非常非常让人头疼的是在tls端口下链接的时候总是链接不到云桌面,并且后台报了一堆ssl问题的错误.经过反复查找问题,原来这个问题是一个本来就存在的bug,是在ssl_read(...
WEB-登录系统
07-17
主要是登录系统,里面有一些项目,用于学习用。
web程序登陆界面
11-07
一步一步实现web程序信息管理系统之一----登陆界面实现 web程序登陆界面。
web 简单登陆
01-20
简单的用户密码登陆,提示为后台调用脚本的弹出
一文搞懂web登录过程
qq_36907456的博客
05-22 5765
一文搞懂web登录过程无状态HTTP协议session和cookiecookie(存放在客户的浏览器上)session (存放在服务器端)session的创建session和cookie的区别token登录过程token验证 在了解登陆过程的原理前,应该先弄清楚几个概念 无状态HTTP协议 协议就是两个计算机之间通讯需要遵守的规则,而HTTP协议是无状态的协议,当用户完成一次数据交互之后就会断开客户端和服务器之间的连接,无法进行数据跟踪。 用大白话来解释就是,比如说用户在网上把一个商品添加到购物车内,这就
Web开发中一个完整的用户登陆(固化)
海涛高软
08-24 766
客户端界面有两个:上图点击提交按钮后,客户端接收到的画面:关键代码: FR:海涛高软 (QQ技术交流群: 386476712)
web渗透--13--登录认证安全测试
武天旭的博客
09-12 9231
1、密码明文传输 1、漏洞描述 密码明文传输一般存在于web网站登录页面,用户名或者密码采用了明文传输,容易被嗅探软件截取 2、检测条件 确定一个或多个常用应用程序包含的可访问的管理界面。 3、检测方法 1、找到网站或者web系统登录页面或者敏感数据提交页面。 2、通过对网站登录页面的请求进行抓包,工具可用burp、wireshark、filder等等,分析其数据包中相关p...
登录页面安全性的研究
mulujute
11-30 1054
1、登录时对用户名、密码、验证码的合法性验证 2、连续登录失败后的处理策略(比如:连续失败3次,锁定账号一段时间 3、用户名的规则 4、密码策略(比如:长度限制、字符限制、不能与账号相同等) 5、密码输入框不允许粘贴复制 6、用户登录密码是否是可见 7、是否有密码过期策略 8、密码是否采取符合要求的加密算法 9、密码不能明文传输 10、日志中是否记录明文密码 11、数据库中不能
安全登录系统的设计与实现方案
WRITELN
12-15 2716
对于 Web 应用程序,安全登录是很重要的。但是目前大多数 Web 系统在发送登录密码时是发送的明文,这样很容易被入侵者监听到密码。当然,通过 SSL 来实现安全连接是个不错的方法,但是很多情况下我们没办法将服务器设置为带有 SSL 的 Web 服务器。因此如果在登录系统中加入安全登录机制,则可以在没有 SSL 的 Web 服务器上实现安全登录。要实现安全登录,可以采用下面两种方法,一种基
web安全篇-解决方案
大海技术博客
03-11 469
一.防范xxs攻击 为了防止持久型 XSS 漏洞,需要前后端共同努力 : 1 . 后端在入库前应该选择不相信任何前端数据,将所有的字段统一进行转义处理。 2 . 后端在输出给前端数据统一进行转义处理。 3 . 前端在渲染页面 DOM 的时候应该选择不相信任何后端数据,任何字段都需要做转义处理。 基于Flash的跨站 XSS: 1 . 严格管理...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论 1
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值