哈希安全漏洞 - 如何修复
Hash Security Vulnerability - How to Fix?
我开发了我的应用程序来使用加盐的SHA-512密码哈希。
如果黑客要获取哈希,我该怎么做才能防止黑客使用 Greasemonkey 更改登录页面,以便密码不会被哈希处理? 我预见的攻击媒介将使他们能够在密码输入中输入他们获得的哈希值,然后 Greasemonkey 更改的页面按原样发送该信息(不对输入的密码进行哈希处理,这是实际哈希值)。
这只是如何使用获取的哈希的一个例子。 还有其他方法可以使用Greasemonkey更改站点的代码以达到相同的结果。
我想不出任何方法来防止/防止这种类型的攻击。
这里有人想出什么吗?
在服务器上对密码进行哈希处理。使用 SSL 通过网络进行保护。
这个问题是关于Greasemonkey拦截密码的漏洞,对吧?
在这种情况下,SSL不会防止用户凭据被盗,密码(或哈希或其他任何内容)将直接从用户的浏览器中获取,并通过GM_xmlhttpRequest()传输给坏人。
如果你尝试对密码进行编码或哈希处理,客户端,Greasemonkey 可以拦截甚至替换负责的 JS。
请参阅"网站可以知道我是否正在运行用户脚本吗?",您可以使脚本编写者更难,但最终,如果坏人可以让用户安装Greasemonkey脚本(或者更糟的是,完整的附加组件/扩展),那么您只会使用户帐户更难 - 并非不可能 - 被泄露。
我什至不会担心它,直到/除非您有证据表明正在使用恶意脚本或附加组件。 最终,用户有责任确保他的浏览器和客户端交互的安全。
您可以执行的操作以使脚本编写者更难(并非不可能):
- 监视您的日志,检查异常活动(无论如何都应该这样做)。
- 采取针对机器人的一般保护措施,例如,请参阅"当机器人攻击时!
- 如果检测到实际脚本或策略,则警告用户。
- 监控用户的帐户/操作是否存在异常活动。 您可以使用JS
- 和一次性编码来截获键入的密码。 这将过滤掉因果脚本,但不会过滤掉确定的脚本。请注意,我不建议这样做,只是为了完整起见而包含它。
- 将密码输入放在 Flash 对话框中。 Pure Greasemonkey很难与Flash互动。 同样,我认为这不划算,但为了完整性而包括它。
- 不需要合法用户执行任何繁琐的步骤(一次性密码、第三通道身份验证等)。 这只会惹恼永远爱你的受害者,直到他们找到更好的选择或解决方法(他们会的)。
相关文章:
- 我如何修复包含在captcha的addthis中的错误
- 如何在读取XLS/XLSX本地文件时,使用IE的javascript代码启用未标记为安全的ActiveX控件
- 使用javascript存储变量的最安全方式
- 我可以'我似乎不知道如何修复javascript中的两个lint.有人能帮我理解吗
- 自动修复”;语句前缺少分号“;
- 滚动以修复向上滚动的问题
- 是否存在React Native“;WEB代码安全防护”;
- 修补Rails 3以修复CSRF保护漏洞
- 未阻止跨域 AJAX 请求:这是安全漏洞吗?
- 哈希安全漏洞 - 如何修复
- 启用CORS时的安全漏洞
- 是不是;t JavaScript setTimeout和setInterval存在一些潜在的安全漏洞
- 是什么使访问系统剪贴板成为安全漏洞?
- 如何修复jslint消息不安全'.'
- 如何修复javascript上的XSS漏洞
- 使用eval()来评估学生程序员的代码.安全漏洞
- AJAX登录的安全漏洞
- 为什么在JS中写入剪贴板被认为是一个安全漏洞
- 安全扫描显示JS脚本文件中的漏洞
- windows可以# 39;增强的安全漏洞jQueryUI's日期选择器