网站页面上的登录操作,通常都是输入帐号密码,传输至网站后台验证 。
在网站页面、数据传输中,通过技术手段,都可以得到用户输入的信息,并可以修改,从而发起网络攻击 。典型的如:使用自动化工具或脚本进行的暴力破解、撞库 。这是很常见的网络安全攻击方式 。一旦成功,帐号密码被获得,后果很严重 。
接下来,演示一种防数据在传输入中被篡改的安全防护技术 。
如下图,在某网站登录页面,可以看到表单数据中有email、pwd等字段,即帐号密码 。
攻击者,可能使用拦截、burp、自写脚本的方式,向后台传递表单数据,尝试登录 。
(注:图中网站仅做测试使用,并不表示目标网站存在安全漏洞)
文章插图
攻击原理,是对email、pwd等字段重新进行赋值,并重新提交给网站后台 。
TIP:或许有人说:密码字段都会加密的,怎么重赋值呢?
当然可以,加密操作,是在页面进行的,只需找到加密函数,即可知道加密算法 。甚至直接调用加密函数即可 。
在本例中,确实pwd字段有被加密,但很容易找到加密函数,如下:
文章插图
加密函数:
文章插图
如何才能提高安全性呢?这正是本文想说的 。
直入正题:可以通过技术手段,隐藏email、pwd等表单内容,使无法定位到表单数据,也就无法修改字段内容了 。
效果如下:
文章插图
且不影响正常登录功能使用,如下图,防护后的登录操作:
登录失败:
文章插图
登录成功:
文章插图
登录成功:
文章插图
可见经保护后,不影响正常的登录操作 。
本方法,可防burp等拦截并篡改数据的工具或脚本,可用于防暴力破解、撞库、嗅探等攻击 。
【黑科技展示,一种无法被暴力破解的登录方式】
推荐阅读
- 白帽黑客是如何远控安卓手机摄像头拍照的?
- 黑色沙漠|几所就业率下降的985大学,学校实力虽强,毕业生找工作却成问题
- ARM|安谋科技联名签署团队公开信:拒绝被软银实控 坚持跟随吴雄昂!
- 黑茶普洱茶功效,普洱茶的降血糖功效作用
- 黑柑橘图片,小柑橘普洱茶功效
- 黑醋减肥,原理竟是这样的!
- 快科技|快科技App新版发布!视频新体验、可以删评论
- 女人泡黑枸杞天泡几粒,黑枸杞泡法
- 网络安全现状,一个黑客真实的收入
- 金银花枸杞的功效,黑枸杞金银花菊花泡水喝的功效