web安全登陆

安全登录机制详解
最新推荐文章于 2025-03-03 22:37:56 发布
原创 最新推荐文章于 2025-03-03 22:37:56 发布 · 141 阅读 · 0 ·
CC 4.0 BY-SA版权
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
文章标签:

#md5 #浏览器

本文介绍了一种基于HMAC的安全登录机制。服务器生成随机字符串并发送给客户端,客户端使用MD5或SHA1对用户密码进行散列后作为密钥,结合服务器随机字符串进行HMAC运算,结果提交给服务器进行验证。
首先在客户端向服务器端请求登录页面时,服务器端生成一个随机字符串,连同登录页面一同发送给客户端浏览器,当用户输入完用户名密码后,将密码采用 MD5 或者 SHA1 来生成散列值作为密钥,服务器端发送来的随机字符串作为消息数据,进行 hmac 运算。然后将结果提交给服务器。之所以要对用户输入的密码进行散列后再作为密钥,而不是直接作为密钥,是为了保证密钥足够长,而又不会太长。服务器端接受到客户端提交的数据后,将保存在服务器端的随机字符串和用户密码进行相同的运算,然后进行比较,如果结果一致,则认为登录成功,否则登录失败。当然如果不用 hmac 算法,直接将密码和服务器端生成的随机数合并以后再做 MD5 或者 SHA1,应该也是可以的。

这里客户端每次请求时服务器端发送的随机字符串都是不同的,因此即使入侵者监听到了这个随机字符串和加密后的提交的数据,它也无法再次提交相同的数据通过验证。而且通过监听到的数据也无法计算出密钥,所以也就无法伪造登录信息了。

http://www.zhuoda.org/lunzi/108245.html
安全登录系统的设计与实现方案
hwalk的专栏
05-12 1527
对于 Web 应用程序,安全登录是很重要的。但是目前大多数 Web 系统在发送登录密码时是发送的明文,这样很容易被入侵者监听密码。当然,通过 SSL 来实现安全连接是个不错的方法,但是很多情况下我们没办法将服务器设置为带有 SSL 的 Web 服务器。因此如果在登录系统中加入安全登录机制,则可以在没有 SSL 的 Web 服务器上实现安全登录。要实现安全登录,可以采用下面三种方法,一种基于非
Web 安全登录
05-15 2754
基本解决方案绝大多数Web应用里面都有用户登录的功能。由于HTTP(S)协议的特点,服务器没有办法锁定客户端,因为客户端对服务器发送HTTP(S)请求的时候,往往没有携带自身的信息,于是服务器想确认客户端的身份是有心无力的。于是出现了在HTTP(S)报头中附带Cookie的一种做法,来帮助服务器识别客户端:Created with Raphaël 2.1.0客户端客户端服务器服务器没有携带Cooki
web安全
xybz1993的博客
08-25 447
CSRF攻击。 跨站请求伪造:简单理解,攻击者盗用了他人身份,发送恶意请求。 从上图可以看出,要完成一次CSRF攻击,受害者必须依次完成两个步骤: 1.登录受信任网站A,并在本地生成Cookie。 2.在不登出A的情况下,访问危险网站B。(B网站可以返回一个立即请求A网站的连接a,本来A网站需要用户登录才能响应链接a的请求,但由于用户之前登录过网站A,所以再次访问会带上上次登录的coo...
安全Web登录过程设计
快乐鸟的专栏
05-15 2752
 风险用户帐号被盗用、用户权限被提升。原则严格控制用户认证过程和认证信息,用户身份不被假冒。控制点2.1是否所有受保护的文件、目录、功能模块都要求身份验证及权限验证。2.2 用户登录窗体安全性设计要求。2.2.1关闭浏览器自动填充功能。2.2.2防止用户口令被侦听,登录口令采用加密方式向服务器传送,如:采用口令和随机ID计算MD5后向服务器传送的方式。2.2.3获取用户登录或操作IP采用R
Web安全系列:登录认证的基本原理从入门到精通
weixin_68076304的博客
02-26 1547
登录认证在Web应用程序安全中扮演着重要的角色,它可以帮助保护用户数据和应用程序免受未经授权的访问和攻击。然而,常常存在着各种绕过登录认证的漏洞和攻击方法,如暴力破解、CSRF攻击、会话劫持和漏洞利用等。在本文中,我们将以DVWA(Damn Vulnerable Web Application)作为示例来讲述登录认证原理及绕过方法。
WEB安全测试.pdf
12-13
Web安全测试》中的秘诀所覆盖的基础知识包括了从观察客户端和服务器之间的消息到使用脚本完成登录并执行Web应用功能的多阶段测试。在《Web安全测试》的最后,你将能够建立精确定位到Ajax函数的测试,以及适用于...
web 网络安全
weixin_43506403的博客
07-09 1615
Web网络安全是网络安全的一个重要分支,专注于保护Web应用程序、服务和网站免受各种网络威胁。
《白帽子讲 Web 安全》之文件操作安全
最新发布
FFNCL的博客
03-03 3327
1.1前端校验的脆弱性与服务端脚本执行危机文件操作是 Web 应用中不可或缺的功能模块,但同时也是攻击者眼中的高价值目标。从文件上传、下载到文件包含、路径穿越,每一步都潜藏着巨大的安全风险。攻击者可以通过构造恶意文件、利用服务器的解析漏洞等方式,实现对服务器的控制或窃取敏感信息。作为开发者和安全人员,我们需要高度重视文件操作的安全问题,采取严格的防御措施,如文件类型检查、路径验证、内容扫描等,确保文件操作的安全性。同时,也需要不断学习新的安全技术和防护策略,以应对日益复杂的网络安全威胁通过。
Web登录如何确保安全
Jack_zengzhen的博客
04-12 1万+
1、一个普通简单的HTML例子,用户登录信息是不安全的 <formaction="http://localhost:8080/Application/login"method="POST"> 用户名:<inputid="username"name="username"type="text"/> 密码:<...
如何实现一个安全Web登陆
ReZero's Blog
10-14 4793
综述:待 Update:QUIC, SSO, HSTS等协议研究,SHA-1 可破解总结: 没有绝对的安全,能不自己做就不自己做, 要么 openID(不了解), 要么OAuth(推荐QQ & Github)本文不考虑键盘记录器等养毒行为, 本文不考虑堆栈溢出, exploit, SQL注入等。 单纯谈论偏向登陆会话过程思维养成key: 时间, 信任无解问题: CSRF, 中间人攻击(有应对方案,但
WEB的用户安全登录功能
漫游学海之旅
02-17 2004
转自:http://coolshell.cn/articles/5353.html 你会做Web上的用户登录功能吗? Web上的用户登录功能应该是最基本的功能了,可是在我看过一些站点的用户登录功能后,我觉得很有必要写一篇文章教大家怎么来做用户登录功能。下面 的文章告诉大家这个功能可能并没有你所想像的那么简单,这是一个关系到用户安全的功能,希望大家能从下面的文章中能知道什么样的方
Web上的用户登录功能安全
热门推荐
Miss_kun的专栏
07-07 1万+
转载自:http://www.daimami.com/web/217218.htm 你会做Web上的用户登录功能吗? Web上的用户登录功能应该是最基本的功能了,可是在我看过一些站点的用户登录功能后,我觉得很有必要写一篇文章教大家怎么来做用户登录功能。下面 的文章告诉大家这个功能可能并没有你所想像的那么简单,这是一个关系到用户安全的功能,希望大家能从下面的文章中能知道什么样的方
如何设计安全的用户登录功能
iteye_10628的博客
12-06 445
如何设计安全的用户登录功能 用户登录功能是Web应用系统具备的最基本的功能,关系到用户数据和应用系统数据的安全,设计一个安全的用户登录功能,涉及到以下几个方面的内容。 (一) 老生常谈——口令 1. 口令长度与复杂度限制 限制用户输入一些非常容易被破解的口令,比如qwert、asdfg、123456、password之类的,参考twitter和facebook的设计,为这样的口令做...
浅谈web安全测试之登录测试
boomkid的博客
07-18 1982
web安全测试之登录
如何设计一个安全的登录流程
shadow_zed的博客
09-05 9698
登录是系统中最重要的一个功能之一,登录成功就能拥有系统的相关使用权限,所以设计一个安全的登录流程是十分必要的,那在一般登录中需要考虑哪些重要因素呢?请看本文讲述。 使用https协议进行传输,虽然麻烦,但是很强的保护措施,还没使用https的站点赶紧转成https吧。 强制用户使用有一定强度且复杂的密码,必须要有大小写加数字,长度在8位以上,杜绝像123456之类的弱密码密码不要明文...
web渗透--13--登录认证安全测试
武天旭的博客
09-12 9882
1、密码明文传输 1、漏洞描述 密码明文传输一般存在于web网站登录页面,用户名或者密码采用了明文传输,容易被嗅探软件截取 2、检测条件 确定一个或多个常用应用程序包含的可访问的管理界面。 3、检测方法 1、找到网站或者web系统登录页面或者敏感数据提交页面。 2、通过对网站登录页面的请求进行抓包,工具可用burp、wireshark、filder等等,分析其数据包中相关p...
NETBEANS实现基础WEB登录页面教程
本篇内容深入分析了使用NetBeans创建一个基础WEB登录页面所需掌握的技术点,从环境准备、界面设计到后端逻辑处理,再到安全性考虑,均进行了详尽的阐述。通过上述步骤,初学者可以快速搭建起一个功能完善的WEB登录...
评论
成就一亿技术人!
拼手气红包6.0元
还能输入1000个字符
 
红包 添加红包
表情包 插入表情
表情包 代码片
 条评论被折叠 查看
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值