记录黑客技术中优秀的内容,传播黑客文化,分享黑客技术精华

住哪网http明文传送密码且密码保存方式设计缺陷

2013-05-13 16:05
住哪网http明文传送密码且密码保存方式设计缺陷
详细说明:1 首先,get方式明文http方式传输就是个很大的问题
 
 
GET /v5/Ajax/A_checkUser.asp?u=139******4&p=n*****2&jsoncallback=jsonp1364522933663 HTTP/1.1
Host: www.zhuna.cn
User-Agent: Mozilla/5.0 (Windows NT 6.1; WOW64; rv:19.0) Gecko/20100101 Firefox/19.0
Accept: text/javascript, application/javascript, */*; q=0.01
Accept-Language: zh-cn,zh;q=0.8,en-us;q=0.5,en;q=0.3
Accept-Encoding: gzip, deflate
X-Requested-With: XMLHttpRequest
Referer: http://www.zhuna.cn/
 
 
 
1 这个是开发基础安全知识的问题,get方式不能用来传输敏感数据
 
2 密码传递最好采用md5加密且存进数据库加盐的方式 
漏洞证明:2 这个问题算比较严重了,首先用户名密码存在cookies里,cookies关键字段没有httponly,密码直接简单md5加密,直接拿到cookies就能知道用户名密码,问题完全是一个架构设计的问题了
 
截个图吧
 
 
 
修复方案:

1 传输能使用https就去搞个,关键传输全部用post,get方式不要把关键数据明文传输
 
2 cookies重新设计下吧,httponly早点加上去,这些都是基石啊
 

知识来源: www.2cto.com/Article/201305/210293.html

阅读:118841 | 评论:0 | 标签:无

想收藏或者和大家分享这篇好文章→复制链接地址

“住哪网http明文传送密码且密码保存方式设计缺陷”共有0条留言

发表评论

姓名:

邮箱:

网址:

验证码:

ADS

标签云