怎么查个人开的房记录查询系统(酒店和宾馆住宿记录查询app是真的

访客4年前关于黑客接单1066

重放攻击的概念

根据百科的解释:重放攻击(Replay Attacks)又称重播攻击、回放攻击或新鲜性攻击(Freshness Attacks),是指攻击者发送一个目的主机已接收过的包,来达到欺骗系统的目的,主要用于身份认证过程,破坏认证的正确性。

它是一种攻击类型,这种攻击会不断恶意或欺诈性地重复一个有效的数据传输,重放攻击可以由发起者,也可以由拦截并重发该数据的敌方进行。攻击者利用 *** 监听或者其他方式盗取认证凭据,之后再把它重新发给认证服务器。从这个解释上理解,加密可以有效防止会话劫持,但是却防止不了重放攻击。重放攻击任何 *** 通讯过程中都可能发生。重放攻击是计算机世界黑客常用的攻击方式之一,它的书面定义对不了解密码学的人来说比较抽象。

概念性的几个防御手段

时间戳

“时戳”──代表当前时刻的数

基本思想──A接收一个消息当且仅当其包含一个对A而言足够接近当前时刻的时戳

原理──重放的时戳将相对远离当前时刻

时钟要求──通信各方的计算机时钟保持同步

处理方式──设置大小适当的时间窗(间隔),越大越能包容 *** 传输延时,越小越能防重放攻击

适用性──用于非连接性的对话(在连接情形下双方时钟若偶然出现不同步,则正确的信息可能会被误判为重放信息而丢弃,而错误的重放信息可能会当作最新信息而接收)

序号

通信双方通过消息中的序列号来判断消息的新鲜性

要求通信双方必须事先协商一个初始序列号,并协商递增 ***

提问与应答

“现时”──与当前事件有关的一次性随机数N(互不重复即可)

基本做法──期望从B获得消息的A 事先发给B一个现时N,并要求B应答的消息中包含N或f(N),f是A、B预先约定的简单函数

原理──A通过B回复的N或f(N)与自己发出是否一致来判定本次消息是不是重放的

时钟要求──无

适用性──用于连接性的对话

重放攻击是对协议的攻击中危害更大、最常见的一种攻击形式。

以登陆为例看具体的例子

常规流程

1.前端web页面用户输入账号、密码,点击登录。

2.请求提交之前,web端首先通过客户端脚本如javascript对密码原文进行md5加密。

3.提交账号、md5之后的密码

4.请求提交至后端,验证账号与密码是否与数据库中的一致,一致则认为登录成功,反之失败。

有什么问题呢?

上述流程看似安全,认为传输过程中的密码是md5之后的,即使被监听截取到,由于md5的不可逆性,密码明文也不会泄露。其实不然!监听者无需解密出密码明文即可登录!监听者只需将监听到的url(如:http://****/login.do?method=login&password=md5之后的密码&userid=登录账号)重放一下,即可冒充你的身份登录系统。

稍微安全点的方式

1.进入登陆页面时,生成一个随机码(称之为盐值),在客户端页面和session中各保存一份。

2.客户端提交登录请求时,将md5之后的密码与该随机码拼接后,再次执行md5,然后提交(提交的密码=md5(md5(密码明文)+随机码))。

3.后端接收到登录请求后,将从数据库中查询出的密码与session中的随机码拼接后,md5运算,然后与前端传递的结果进行比较。

为何要这样?

该登录方式,即使登录请求被监听到,回放登录URL,由于随机码不匹配(监听者的session中的随机码与被监听者的session中的随机码相同概率可忽略),无法登录成功。

该登录方式,由于传输的密码是原密码md5之后与随机码再次md5之后的结果,即使监听者采用暴力破解的方式,也很难解密出密码明文。

更进一步

考虑到密码输入的方便性,好多用户的密码都设置的很短,并且不够复杂,往往是6位数字字母组合,这样的密码md5之后保存到数据库,一旦数据库数据泄露,简单密码的md5结果很容易通过暴力破解的方式给解密出来,何况md5出现了这么多年,可能已经有不少字典了!同时为了方便用户登录的方便性,我们的系统一般不可能要求用户设置很长、很复杂的密码!怎么办?加固定盐值。1.系统设置一个固定的盐值,该盐值更好足够复杂,如:1qaz2wsx3edc4rfv!@#$%^&qqtrtRTWDFHAJBFHAGFUAHKJFHAJHFJHAJWRFA

2.用户注册、修改密码时,将用户的原始密码与我们的固定盐值拼接,然后做md5运算。

3.传递至后端,保存进数据库(数据库中保存的密码是用户的原始密码拼接固定盐值后,md5运算后的结果)。

4.登录时,将用户的原始密码与我们的固定盐值进行拼接,然后做md5运算,运算后的结果再拼接上我们的随机码,再次md5运算,然后提交。

5.后端接收到登录请求后,将从数据库中查询出的密码与session中的随机码拼接后,md5运算,然后与前端传递的结果进行比较。


相关文章

教你把手机变成高级黑客手机   黑客

教你把手机变成高级黑客手机   黑客

“黑客”必用兵器之“网络抓包工具” 在之前的文章里讲到过网络通信原理、网络协议端口、漏洞扫描等网络相关知识,很多网友看到这些文章以后都说写的不错,但是阅读后感觉还是做不到深刻理解,今天我就教大家一个...

大脑黑客45免费读(大脑黑客小说)

大脑黑客45免费读(大脑黑客小说)

本文目录一览: 1、《大脑黑客》txt下载在线阅读全文,求百度网盘云资源 2、求《大脑黑客:45种大脑超速运转的实用技巧》全文免费下载百度网盘资源,谢谢~ 3、《超脑黑客》精校版全集,,,我看...

黑客词汇大全(黑客网络用语)

黑客词汇大全(黑客网络用语)

本文目录一览: 1、黑客都有那些术语??尽量说详细点?谢谢了 2、黑客术语有哪些,是什么意思啊? 3、关于黑客常用术语 4、谁能解释一下黑客的基本术语 黑客都有那些术语??尽量说详细点?...

微信添加别人的记录怎么看?我添加别人微信号的记录

微信添加别人的记录怎么看?我添加别人微信号的记录

微信怎么看自己添加别人的记录呢?有的朋友用QQ比较熟悉,就知道qq有个验证好友的功能,在里面能看到别人加我们QQ的记录,也能看到我们发出去加别人的好友申请,所以qq是能看到添加别人的记录的,那么微...

电脑黑客和手机黑客「黑客网上怎么接任务」

⒈电脑和手机为何能被黑客进攻?有什么书强烈推荐吗要是有互联网就会有黑客!无论是外网地址還是内部网,都很有可能被入侵或进攻! 推存渗入系列的书本,或是内部网入侵的书本,这种不只看一本书就能明白,至少要掌...

c罗和卡卡兄弟情深(C罗女友与卡卡长相相似)

c羅和卡卡兄弟情深(C羅女友與卡卡長相相似)千奇百怪的天下,是造物主的恩賜,還是我們自己也是這奇觀之一?    探索之謎網導讀:C羅出道於裡斯本競技。2003年加盟英超曼聯,期間獲得瞭英格蘭足球超...