看好你的门-客户端传数据(7)-不安全的固定加密
2015-03-06 12:57
197 查看
首先需要声明,本文纯属一个毫无远见和真才实学的小小开发人员的愚昧见解,仅供用于web系统安全方面的参考。
实际上,固定加密也是一种常见的方法。动态加密虽然好,但是在大型系统中,动态加密要经济合理的实现确实不容易。
价格虽然也是放在隐藏字段中,但是加了一个价格的验证字段,使用了MD5加密,理论上来说,几乎不可能被破解。
这也是常用的一种反CSRF方法。
如果加密的强度不够,很容易被破解;
如果加密的强度足够,要破解很难,那么进行简单的偷天换日就能破解: 把另外一个更加便宜的产品的价格和加密价格复制过来,放在这里提交。
1、 简单说明
在安全性的系统来说,有固定加密总是一件好事情。实际上,固定加密也是一种常见的方法。动态加密虽然好,但是在大型系统中,动态加密要经济合理的实现确实不容易。
2、 一个使用简单固定加密的例子
[code] <%@ page language="java" import="java.util.*" pageEncoding="UTF-8"%> <!DOCTYPE HTML PUBLIC "-//W3C//DTD HTML 4.01 Transitional//EN"> <html> <head> <title>看好你的门-阿饭同学 </title> </head> <body> <form action="aShopPrice.action" method="post" name="form1"> 商品:华为P7 <br> 价格:2199元 <br> 数量:<input type="text" name="quantity" > <br> <input type="hidden" name="price" value="2199" > <input type="hidden" name="price_token" value="EG77SDFEWRGEDF228" > <input type="submit" value="确认购买" /> </form> </body> </html>
价格虽然也是放在隐藏字段中,但是加了一个价格的验证字段,使用了MD5加密,理论上来说,几乎不可能被破解。
这也是常用的一种反CSRF方法。
3、 被攻击
对这种交易类网站来说,这一条信息是可见的,其他的信息也是可见的。如果加密的强度不够,很容易被破解;
如果加密的强度足够,要破解很难,那么进行简单的偷天换日就能破解: 把另外一个更加便宜的产品的价格和加密价格复制过来,放在这里提交。
相关文章推荐
- 看好你的门-客户端传数据(2)-不安全的URL参数
- 看好你的门-客户端传数据(10)-不安全的HTML禁用元素
- 看好你的门-客户端传数据(6)-不安全的cookie
- 看好你的门-客户端传数据(1)-不安全的隐藏表单字段
- 看好你的门-客户端传数据(8)-不安全的HTML表单限制
- 看好你的门-客户端传数据(3)-不安全的http信息头
- 看好你的门-客户端传数据(9)-不安全的js脚本限制
- 看好你的门-客户端传数据(10)-不安全的HTML禁用元素
- 如何选择合适的加密技术保障数据安全
- 磁带备份加密,安全的数据保护
- 加密技术在企业数据安全中的应用(转)
- 续谈登录相关数据的安全加密策略——密码泄露事件杂谈之二
- 如何使用加密工具保证企业数据安全
- 加密它:用新的高级加密标准(AES)保持你的数据安全
- CA证书的申请、签发,数据的安全加密、openssl的使用
- 加密解密---------->用新的高级加密标准(AES)保持你的数据安全
- gpg 数据安全加密小例子
- [转]加密技术在企业数据安全中的应用
- 加密技术在企业数据安全中的应用