有些使用需要把用户暗码保存在本地,本计划规划了一种较为安全的暗码本地存储的计划。
1 安全要求
1.1 要完成的
避免攻击者得到用户暗码的明文 避免攻击者拿到主动登录token后,一向都可以登陆 即便两个用户的暗码相同,服务器保存的密文暗码也不一样 可在服务器端铲除salt,让用户的主动登录token失效,需手动登录 用户在多个终端登录同一个帐号,各终端的主动登录功用都收效1.2 不完成的
更安全的计划能做到“把本地保存的文件复制到其他客户端”登录就会失效,这依赖于客户端做处理,本计划不完成 有的计划选用RSA非对称加密,本计划直接选用AES对称加密2 APP场景剖析
2.1 注册时
AesKey = 前后端约定好的密钥 ClientSalt = 客户端随机生成8个字符(从0-9A-Za-z中选) HashedPassword = SHA1(明文暗码) EncryptedPassword = Base64(AesEncrypt(ClientSalt + HashedPassword, AesKey))
阐明:
注册时客户端在注册接口里提交EncryptedPassword 服务器用AesKey解出ClientSalt + HashedPassword,由于ClientSalt固定22字节,能核算得到HashedPassword注册成功后,服务器保存的用户暗码是SavedPassword。生成办法如下:
ServerSalt = 服务器随机生成8个字符(从0-9A-Za-z中选) SavedPassword = Base64(AesEncrypt(ServerSalt + HashedPassword, 服务器专用密钥))
阐明:
有了ServerSalt,即便两个用户的暗码相同,最终的EncryptedPassword也会不一样。 用户暗码在数据库中没有明文存储。2.2 手动登录时
阐明:
1、客户端在手动登录接口里提交EncryptedPassword(生成办法同2.1注册时)
2、服务器验证的进程:
1) 用AesKey从客户端的EncryptedPassword里解出HashedPassword
2) 用服务器专用密钥从数据库的SavedPassword里解出HashedPassword
3) 比较两个HashedPassword
4) 验证成功后返给客户端SaltExpire和AutoLoginToken,生成 *** 如下:
Salt = 随机8字符(从0-9A-Za-z中选) SaltExpire = 该Salt最终有用时刻 AutoLoginToken = Base64(AesEncrypt(Salt + HashedPassword, 服务器专用密钥))
5) 把用户ID、Salt和SaltExpire保存在Salt缓存表中
3、客户端本地存储的是SaltExpire和AutoLoginToken,没有保存明文暗码
4、客户端由于不知道服务器的Aes密钥,无法解出HashedPassword
[1] [2] 黑客接单网
-s strip comments and whitespaces 3 咱们发现,EK代码中包括有多个行为层,在图片7中显现的运用ActiveXObject进行初始化的状况。...
长处:可用于网站集群,对新式变种脚本有必定的检测才能。 Cobalt Strike -> Listeners然后拿了一些信息,比方数据库暗码:cat "spaces in this filena...
“我国全体防御才能的国际排名和国足平起平坐。”赵伟不无悲情地说。 他如此点评,是依据知道创宇追寻上一年席卷全球的“心脏出血”缝隙在各个国家修正的速度,得出的定论:在缝隙爆出一年之后,我国仍有三分之一的...
「id机_在哪里能找黑客-想找网络黑客怎么找」白名单中随意挑个地址加在后边,可成功bypass,由于咱们现已清晰112ms是一次跳频序列的循环,那么从冗余数据中咱们能够推论:...
检测结束后,显现能够注入,并排出了数据库类型:Access数据库;URL 长途的cfm图7成功绕过点击[修正]菜单后,随意修正一两个内容,但先不要保存,咱们先来预备抓包东西,进行抓包改包;我:还能够哦...
export AFLSMART=$(pwd)/aflsmart支撑在曩昔的APT要挟或许网络进犯活动中,运用邮件投递歹意的文档类载荷对错常常见的一种进犯办法,一般投进的文档大多为Office文档类型,...