漏洞解决方案-明文传输漏洞
漏洞解决方案-明文传输漏洞
一、漏洞概述
敏感数据明文传输简单点来说就是当我们在网站上面提交敏感数据到服务器的过程中未进行相关加密处理,导致攻击者通过中间人攻击方式(劫持、嗅探等)即可获取到这些未加密的敏感数据。当攻击者获取到这些数据之后,就可以用这些信息以合法用户的身份进入到应用系统中——甚至可能进入到应用系统后台中,一旦进入到应用系统中那么就可以获取更多的敏感数据,以及更有机会发现更多的漏洞。
二、利用方法和手段
- 方法1:通过中间人攻击方式(劫持、嗅探等)获取未加密的敏感数据
- 方法2:根据web用户登陆页面,直接进行暴力破解用户信息。
三、漏洞防御解决方法
- 方法1:使用正规的ca机构颁发的https证书
- 方法2:采用非对称加密方式(不可逆的加密方式)
例如:
使用md5加盐加密方式。就是在做MD5之前给密码原文加上某个字符串后再做MD5运算。要点在于,这个salt,是每次提交之前跟服务器端实时申请的,而且会在很短的时间内自动过期(因为申请和验证之间的时间间隔只是两次连续http请求的时间,所以这个过期时间可以很短),这个salt只用一次,验证之后无论成功与否都会在服务器端强制作废。这样的话,截获任何一次MD5加密串,都无法用于另一次登录验证。
