随笔分类 -  安全性

摘要：转自：http://netsecurity.51cto.com/art/200808/87178.htm 对于Web应用来说，注射式攻击由来已久，攻击方式也五花八门，常见的攻击方式有SQL注射、命令注射以及新近才出现的XPath注射等等。本文将以SQL注射为例，在源码级对其攻击原理进行深入的讲解。一、注射式攻击的原理 注射式攻击的根源在于，程序命令和用户数据（即用户输入）之间没有做到泾渭分明。这使得攻击者有机会将程序命令当作用户输入的数据提交给We程序，以发号施令，为所欲为。 为了发动注射攻击，攻击者需要在常规输入中混入将被解释为命令的“数据”，要想成功，必须要做三件事情：1.确定Web... 阅读全文

摘要：web账户的口令不能直接明文存储，这样太不安全了，需要加密存储。存储策略—— 基于安全哈希算法加密存储用户的口令 估计基于安全哈希算法的存储方式应该已经广泛使用了，不过奇怪的是网上难以找到相关应用的详细资料。哈希算法可用于保障信息的完整性、抗抵赖性， 属于单向算法，即便哈希的结果被截获，对方也是无法还原出明文的。如果在哈希的过程中加入盐值，那就更好了，可以起到混淆的作用。盐值这个概念找不到定义，大概是指用户间相互不同的信息，常见的用户名、用户邮箱、账号注册时间等。 类似地，选择基于哈希的消息认证码（HMAC）也可用于身份认证，安全性更强，如果各位对单纯的hash不放心，可以使用HMAC... 阅读全文