有些使用需要把用户暗码保存在本地,本计划规划了一种较为安全的暗码本地存储的计划。
1 安全要求
1.1 要完成的
避免攻击者得到用户暗码的明文 避免攻击者拿到主动登录token后,一向都可以登陆 即便两个用户的暗码相同,服务器保存的密文暗码也不一样 可在服务器端铲除salt,让用户的主动登录token失效,需手动登录 用户在多个终端登录同一个帐号,各终端的主动登录功用都收效1.2 不完成的
更安全的计划能做到“把本地保存的文件复制到其他客户端”登录就会失效,这依赖于客户端做处理,本计划不完成 有的计划选用RSA非对称加密,本计划直接选用AES对称加密2 APP场景剖析
2.1 注册时
AesKey = 前后端约定好的密钥 ClientSalt = 客户端随机生成8个字符(从0-9A-Za-z中选) HashedPassword = SHA1(明文暗码) EncryptedPassword = Base64(AesEncrypt(ClientSalt + HashedPassword, AesKey))
阐明:
注册时客户端在注册接口里提交EncryptedPassword 服务器用AesKey解出ClientSalt + HashedPassword,由于ClientSalt固定22字节,能核算得到HashedPassword注册成功后,服务器保存的用户暗码是SavedPassword。生成办法如下:
ServerSalt = 服务器随机生成8个字符(从0-9A-Za-z中选) SavedPassword = Base64(AesEncrypt(ServerSalt + HashedPassword, 服务器专用密钥))
阐明:
有了ServerSalt,即便两个用户的暗码相同,最终的EncryptedPassword也会不一样。 用户暗码在数据库中没有明文存储。2.2 手动登录时
阐明:
1、客户端在手动登录接口里提交EncryptedPassword(生成办法同2.1注册时)
2、服务器验证的进程:
1) 用AesKey从客户端的EncryptedPassword里解出HashedPassword
2) 用服务器专用密钥从数据库的SavedPassword里解出HashedPassword
3) 比较两个HashedPassword
4) 验证成功后返给客户端SaltExpire和AutoLoginToken,生成 *** 如下:
Salt = 随机8字符(从0-9A-Za-z中选) SaltExpire = 该Salt最终有用时刻 AutoLoginToken = Base64(AesEncrypt(Salt + HashedPassword, 服务器专用密钥))
5) 把用户ID、Salt和SaltExpire保存在Salt缓存表中
3、客户端本地存储的是SaltExpire和AutoLoginToken,没有保存明文暗码
4、客户端由于不知道服务器的Aes密钥,无法解出HashedPassword
[1] [2] 黑客接单网
/// <param name="sql"></param> 0x04 事例之官微帐号被盗if ($stmt = $db->prepare($query) )htt...
,代表刺进大写字母关于黑客而言相同如此,认证环节就像是一堵高墙,绕过认证接触到体系的底层代码,技术上才算是登堂入室,不论关于网络进犯仍是网络防护,这一原则都有用。 然后咱们跟到admin_xajax_...
iface eth0 inet dhcp4.4统计学 -k list available themes0×03:剖析进程// POC Author: Gursev Singh Kalra (gurse...
下载结束后,双击下载到本地的 [web.exe] 可执行文件进行解压,解压后会发现有一个install.php.bak文件,这便是本试验的突破口;一般的CMS体系在建立伊始都会首要运转install文...
用’or’='or’来登陆已然有注入,直接上东西了(虽然会手注入,但东西究竟效率高),表信息就出来了。 尽管这个问题在06年就提出来了。 在11年的时分有了好几个优异的paper来研讨这个问题。 可是...
}文章点评:怎么防备黑客运用FSO跨目录侵略其他网站或许许多办理员都不大了解,其实,FSO合理的使用,仅仅windows服务器安全的其间一部分。...