看好你的门-客户端传数据(7)-不安全的固定加密

首先需要声明，本文纯属一个毫无远见和真才实学的小小开发人员的愚昧见解，仅供用于web系统安全方面的参考。

1、 简单说明

在安全性的系统来说，有固定加密总是一件好事情。

实际上，固定加密也是一种常见的方法。动态加密虽然好，但是在大型系统中，动态加密要经济合理的实现确实不容易。

2、 一个使用简单固定加密的例子

[code]
<%@ page language="java" import="java.util.*" pageEncoding="UTF-8"%>
<!DOCTYPE HTML PUBLIC "-//W3C//DTD HTML 4.01 Transitional//EN">
<html>
<head>
<title>看好你的门-阿饭同学 </title>
</head>
<body>
    <form action="aShopPrice.action" method="post" name="form1">
    商品：华为P7 <br>
    价格：2199元 <br>
    数量：<input type="text" name="quantity" > <br>

    <input type="hidden" name="price" value="2199" >
    <input type="hidden" name="price_token" value="EG77SDFEWRGEDF228" >
    <input type="submit" value="确认购买" />    
    </form>
</body>
</html>

价格虽然也是放在隐藏字段中，但是加了一个价格的验证字段，使用了MD5加密，理论上来说，几乎不可能被破解。

这也是常用的一种反CSRF方法。

3、 被攻击

对这种交易类网站来说，这一条信息是可见的，其他的信息也是可见的。

如果加密的强度不够，很容易被破解；

如果加密的强度足够，要破解很难，那么进行简单的偷天换日就能破解： 把另外一个更加便宜的产品的价格和加密价格复制过来，放在这里提交。