摘要:剛到家,正好把前幾天學(xué)到的東西總結(jié)一下。大概是這樣的,校園一卡通是用戶名位密碼,可以在網(wǎng)上查看帳戶信息。打開(kāi)一卡通網(wǎng)站,登陸的地方只有用戶名和密碼。很常規(guī)的做法,調(diào)出工作臺(tái),自己登陸一次,看看上去的數(shù)據(jù)。抓包結(jié)果顯示,用戶名和加密的密碼。
剛到家,正好把前幾天學(xué)到的東西總結(jié)一下。
大概是這樣的,校園一卡通是用戶名+6位密碼,可以在網(wǎng)上查看帳戶信息。不禁讓我聯(lián)想到APR攻擊和登陸暴力窮舉,畢竟校園卡里面都是錢(qián)嘛。
打開(kāi)一卡通網(wǎng)站,登陸的地方只有用戶名和密碼。很常規(guī)的做法,F(xiàn)12調(diào)出工作臺(tái),自己登陸一次,看看POST上去的數(shù)據(jù)。抓包結(jié)果顯示,用戶名和MD5加密的密碼。于是我試著手動(dòng)構(gòu)造用戶名和MD5加密的密碼提交上去,結(jié)果提示密碼錯(cuò)誤。再次抓包,發(fā)現(xiàn)每次POST數(shù)據(jù)中加密的密碼都不一樣~好奇。。。
查看相關(guān)源碼,弄懂了大概的原理。POST之前,MD5加密密碼和一個(gè)隨機(jī)字符串。
password = md5(password+randStr);
這個(gè)randStr是每次加載頁(yè)面時(shí)隨機(jī)程序生成的,也就是說(shuō)web程序首先生成一個(gè)randStr,然后把它保存在session里面,同時(shí)輸出到前端。前端用隨機(jī)碼加密用戶密碼之后POST給服務(wù)器(str1),服務(wù)器再取出session中的隨機(jī)碼對(duì)數(shù)據(jù)庫(kù)中的用戶密碼進(jìn)行加密(str2),再和POST上來(lái)的數(shù)據(jù)做比較(str1 == str2),就可以確定身份了。
這樣做的好處在于,就算內(nèi)網(wǎng)出現(xiàn)了ARP欺騙,也不會(huì)泄露出用戶密碼。
文章版權(quán)歸作者所有,未經(jīng)允許請(qǐng)勿轉(zhuǎn)載,若此文章存在違規(guī)行為,您可以聯(lián)系管理員刪除。
轉(zhuǎn)載請(qǐng)注明本文地址:http://specialneedsforspecialkids.com/yun/20791.html
摘要:也就正式開(kāi)始了我的前端之路。在這期間,我還購(gòu)買(mǎi)并配置了自己的云服務(wù)器,自己的博客系統(tǒng),自己的還學(xué)會(huì)了的基本操作。不必說(shuō)的是高級(jí)程序設(shè)計(jì)豆瓣鏈接這本書(shū),也就是大家常說(shuō)的高程,基本上每個(gè)合格的前端程序員都要熟讀很多很多次,每次讀都會(huì)有新發(fā)現(xiàn)。 原創(chuàng) 西安前端交流會(huì): 卡農(nóng) ovenzeze@qq.com 本文章同步發(fā)表在wdShare西安前端交流會(huì)網(wǎng)站、我的個(gè)人博客以及segmentF...
摘要:也就正式開(kāi)始了我的前端之路。在這期間,我還購(gòu)買(mǎi)并配置了自己的云服務(wù)器,自己的博客系統(tǒng),自己的還學(xué)會(huì)了的基本操作。不必說(shuō)的是高級(jí)程序設(shè)計(jì)豆瓣鏈接這本書(shū),也就是大家常說(shuō)的高程,基本上每個(gè)合格的前端程序員都要熟讀很多很多次,每次讀都會(huì)有新發(fā)現(xiàn)。 原創(chuàng) 西安前端交流會(huì): 卡農(nóng) ovenzeze@qq.com 本文章同步發(fā)表在wdShare西安前端交流會(huì)網(wǎng)站、我的個(gè)人博客以及segmentF...
摘要:在我開(kāi)發(fā)之前只看見(jiàn)上海交通大學(xué)完成了自己的二次開(kāi)發(fā),并且接入了自己學(xué)校的統(tǒng)一身份認(rèn)證系統(tǒng),除此之外,南京大學(xué)也打算做這個(gè)東西,然而過(guò)去了兩年,好像還是沒(méi)有完成開(kāi)發(fā)。具體的實(shí)現(xiàn)可以參照上海交通大學(xué)的問(wèn)卷吧系統(tǒng)。 Limesurvey是一個(gè)比較著名的開(kāi)源問(wèn)卷調(diào)查項(xiàng)目,GitHub地址:https://github.com/LimeSurvey/LimeSurvey 但由于種種原因,雖然用搜...
摘要:老姚淺談怎么學(xué)鑒于時(shí)不時(shí),有同學(xué)私信問(wèn)我老姚,下同怎么學(xué)前端的問(wèn)題。擼碼聽(tīng)歌,全局控制。 淺析用 js 解析 xml 的方法 由于項(xiàng)目上需要解析 xml,于是各種百度,然后自己總結(jié)了下各個(gè)主流瀏覽器解析 xml 的方法,只能是很淺顯的知道他的用法,但是還沒(méi)有深層次的研究。 裝 X - 建立自己的斗圖網(wǎng)站庫(kù) 之前加過(guò)一個(gè)斗圖群,看到很多經(jīng)典的表情,然后就收藏到了 QQ, 迫于本屌絲開(kāi)不起...
閱讀 3156·2021-11-22 09:34
閱讀 2796·2021-09-22 15:28
閱讀 816·2021-09-10 10:51
閱讀 1853·2019-08-30 14:22
閱讀 2273·2019-08-30 14:17
閱讀 2734·2019-08-30 11:01
閱讀 2295·2019-08-29 17:19
閱讀 3653·2019-08-29 13:17