精华内容
下载资源
问答
  • 明文传输敏感信息

    2021-03-21 22:17:50
    什么明文传输 明文传输简单点来说就是当我们在网站上面提交敏感数据到服务器的过程中未进行相关加密处理,导致攻击者通过中间人攻击方式(劫持、嗅探等)即可获取到这些未加密的敏感数据。当攻击者获取到这些...

    一. 什么是明文传输

           明文传输简单点来说就是当我们在网站上面提交敏感数据到服务器的过程中未进行相关加密处理,导致攻击者通过中间人攻击方式(劫持、嗅探等)即可获取到这些未加密的敏感数据。当攻击者获取到这些数据之后,就可以用这些信息以合法用户的身份进入到应用系统中——甚至可能进入到应用系统后台中,一旦进入到应用系统中那么就可以获取更多的敏感数据,以及更有机会发现更多的漏洞。明文传输只发生在HTTP协议中。

           有时候网站使用了https,但是我们抓包后发现用户名和密码字段还是明文传输。是因为https(ssl)加密是发生在应用层与传输层之间,所以在传输层看到的数据才是经过加密的,而我们捕捉到的http post,是应用层的数据,此时还没有经过加密。这些明文信息,其实就是你的本地数据。加密数据只有客户端和服务器端才能得到明文,客户端到服务端的通信过程是安全的。所以这不算明文传输

    二. 明文传输实例

           前提:协议是http

           通过对网站登录页面的请求进行抓包,工具可用burp、wireshark、filder等,分析其数据包中相关password(密码)参数的值是否为明文。


    三. 防御

    1、用户登录信息使用加密传输,如密码在传输前使用安全的算法加密后传输,可采用的算法包括:不可逆hash算法加盐(4位及以上随机数,由服务器端产生);安全对称加密算法,如AES(128、192、256位),且必须保证客户端密钥安全,不可被破解或读出;非对称加密算法,如RSA(不低于1024位)、SM2等。

    2、使用HTTPS/SSL来保证传输的安全。

    展开全文
  • 什么要研究这个呢,因为我所在单位的信息管理部门在监控系统上发现大量的明文账号(身份证号)和密码在传输,被告知这很不安全,索性就直接解决这个问题,利用JS前端加密PHP后端再加密来解决这个问题,保证传输...

    为什么要研究这个呢,因为我所在单位的信息管理部门在监控系统上发现有大量的明文账号(身份证号)和密码在传输,被告知这很不安全,索性就直接解决这个问题,利用JS前端加密PHP后端再加密来解决这个问题,保证传输过程中数据的非明文传递。

    一、登录界面

    //以上引用文件会在后面给出文件压缩包(顺便在这里鄙视一下有些论坛,无论什么东西都要下载积分花钱,我也是付费购买后给大家分享出来)

    function checkform_login(){

    if ($("#username").val()==""){

    $("#username").focus();

    alert("请输入您的账号!")

    return false

    }else if ($("#password").val()==""){

    $("#password").focus();

    alert("请输入您的密码!")

    return false

    }else{

    $("#u_dlcode").val(js_encrypt($("#username").val()))

    $("#p_dlcode").val(js_encrypt($("#password").val()))

    //$("#username").val($("#u_dlcode").val()+123)

    //return false

    $("#form_login_true").submit();

    return true

    }

    }

    //前端js,使用crypto-js对数据进行AES加密

    function js_encrypt(text){

    var key = CryptoJS.enc.Latin1.parse('1E390CMD585LLS4S'); //为了避免补位,直接用16位的秘钥

    var iv = CryptoJS.enc.Latin1.parse('1104432290129056'); //16位初始向量(请记住这两个都要保证是16位)

    var encrypted = CryptoJS.AES.encrypt(text, key, {

    iv: iv,

    mode:CryptoJS.mode.CBC,

    padding:CryptoJS.pad.ZeroPadding

    });

    return encrypted;

    }

    二、PHP验证登录界面//openssl_encrypt解密,前端通过JS加密

    function js_decrypt_openssl($encrypt){

    $key = "1E390CMD585LLS4S"; //与JS端的KEY一致

    $iv = "1104432290129056"; //这个也是要与JS中的IV一致

    //$encrypt = base64_ decode($encrypt); //注意这里的base64_和decode之间不应该有空格,我这么写是因为触发了西数的安全机制,不允许在内容中有这个函数

    $decrypted = openssl_decrypt($encrypt, 'AES-128-CBC', $key, 2 , $iv);

    $decrypted = rtrim($decrypted, "

    展开全文
  • 只有搞懂了什么是域名劫持 DNS劫持,我们才能找到仿制的方法方法/步骤2:域名劫持有什么危害? 域名劫持一方面可能影响用户的上网体验,用户被引到假冒的网站进而无法正常浏览网页,而用户量较大的网站域名被劫持后...

    法/步骤1:什么是域名劫持?

    只有搞懂了什么是域名劫持 DNS劫持,我们才能找到仿制的方法

    方法/步骤2:域名劫持有什么危害?

      域名劫持一方面可能影响用户的上网体验,用户被引到假冒的网站进而无法正常浏览网页,而用户量较大的网站域名被劫持后恶劣影响会不断扩大;

      另一方面用户可能被诱骗到冒牌网站进行登录等操作导致泄露隐私数据。

    方法/步骤3:SSL证书如何能防止劫持?

    SLL证书通俗的来说就是将http换成https。HTTPS,是HTTP over SSL的意思,就是在HTTP明文通道的基础上,增加一层SSL加密通道。SSL协议是用于解决传输层安全问题的网络协议,其核心是基于公钥密码学理论实现了对服务器身份认证、数据的加密保护以及对数据完整性的校验等功能,确保传输数据的机密性和完整性,以及服务器身份的真实性。

    方法/步骤4:如何获得安全可靠的SSL证书?

    方法/步骤5:购买了证书后怎么防止DNS劫持?

    aa8159940d9f0de352bdd42bbe4dbb97.png

    DNS

    展开全文
  • 什么是敏感信息的明文传输漏洞? 程序在通信时以明文形式传输敏感或重要数据,这些数据可能被未经授权的攻击者嗅探。 简单点来说就是当我们在网站上面提交敏感数据到服务器的过程中未进行相关加密处理,导致攻击者...

    关注公众号“中科天齐软件安全中心”(id:woocoom),一起涨知识!

    该栏目为中科天齐全新规划的悟空云课堂,每周五下午18:00准时上线,旨在科普软件安全相关知识,助力企业有效防范软件安全漏洞,提升网络安全防护能力。

    【悟空云课堂】第十三期:敏感信息的明文传输漏洞(CWE-319: Cleartext Transmission of Sensitive Information)

    什么是敏感信息的明文传输漏洞?
    程序在通信时以明文形式传输敏感或重要数据,这些数据可能被未经授权的攻击者嗅探。
    简单点来说就是当我们在网站上面提交敏感数据到服务器的过程中未进行相关加密处理,导致攻击者通过代理攻击方式(劫持、嗅探等)即可获取到这些未加密的敏感数据。

    敏感信息的明文传输漏洞构成条件有哪些?
    满足以下条件,就构成了一个该类型的安全漏洞:
    1、从socket中获取到敏感信息且未加密;
    2、直接将未加密的敏感信息进行传输;

    敏感信息的明文传输漏洞会造成哪些后果?
    关键词:读取应用程序数据;修改文件或目录;
    当攻击者获取到这些数据之后,就可以用这些信息以合法用户的身份进入到应用系统中——甚至可能进入到应用系统后台中,一旦进入到应用系统中那么就可以获取更多的敏感数据,以及更有机会发现更多的漏洞。

    敏感信息的明文传输漏洞的防范和修补方法有哪些?
    1、 在传输之前使用可靠的加密算法对数据进行加密。
    2、 将服务器配置为使用加密通道进行通信,其中可能包括SSL或其他安全协议。

    敏感信息的明文传输漏洞样例:

    try {
    URL u = new URL("http://www.secret.example.org/");
    HttpURLConnection hu = (HttpURLConnection) u.openConnection();
    hu.setRequestMethod("PUT");
    hu.connect();
    OutputStream os = hu.getOutputStream();
    hu.disconnect();
    }
    catch (IOException e) {
    
    //...
    }
    
    

    敏感信息的明文传输在CWE中被编号为
    CWE-319: Cleartext Transmission of Sensitive Information

    更多的信息请参考CWE官网:http://cwe.mitre.org/data/definitions/319.html

    了解更多安全资讯 请关注公众号 中科天齐软件安全中心

    展开全文
  • 本文为《三万长文50+趣图带你领悟web编程的内功心法》第二个章节。 ...接下来我们先来简单介绍下HTTP/1.1的优缺点,好让大家...由于底层是基于TCP协议的,所以继承了TCP传输数据的可靠性,主要体现在[^10]: 数据的顺序.
  • 前言谈到HTTPS, 就不得不谈到与之相对的HTTP。HTTP的特性是明文传输,因此在传输的每一个环节,数据可能被第三方窃取或者篡改,具体来说,HTTP 数据经过 TCP 层,然后经...
  • SFTP是什么?与FTP之间有什么区别

    千次阅读 2019-06-27 17:11:01
    它确保使用私有和安全的数据流来安全地传输数据。 SFTP要求客户端用户必须由服务器进行身份验证,并且数据传输必须通过安全通道(SSH)进行,即不传输明文密码或文件数据。它允许对远程文件执行各种操作,有点像...
  • SSL证书是数字证书的一种,类似于驾驶证、护照和营业执照的电子副本。...1、加密传输数据 用户通过http协议访问网站时,浏览器和服务器之间是明文传输,这就意味着用户填写的密码、帐号、交易记录等机密信息都是明文...
  • http和https有什么区别?

    2020-06-23 15:41:42
    http和https有什么区别? http协议和https协议的区别bai:传输信息安全性不同du、连接方式不zhi同、端口不同、证书dao申请方式不同 一、传输信息安全性不同 1、http协议:是超文本传输协议,信息是明文传输。如果...
  • GET和POST有什么区别

    2018-01-11 14:49:34
    估计好多人在面试中都会被问...2,get和post传输数据的方式不同,get是放在请求链接的url地址后加?和&传输,post则是把数据放置在报文主体中进行传输。 3,get明文传输,相对post不安全 4,浏览器对get请求资源文件
  • 它确保使用私有和安全的数据流来安全地传输数据。SFTP要求客户端用户必须由服务器进行身份验证,并且数据传输必须通过安全通道(SSH)进行,即不传输明文密码或文件数据。它允许对远程文件执行各种操作,有点像远程...
  • Http(HyperText Transfer ...1Http是明文传输数据未经过加密,客户端和服务器之间无法进行身份认证,安全性较差,Https数据传输过程是加密的,客户端与服务器之间可以进行身份认证,安全性好。 2Http不需要证书
  • SSL证书有什么作用主要有以下两点 (1)网站实现加密传输 用户通过http协议访问网站时,浏览器和服务器之间是明文传输,这就意味着用户填写的密码、账号、交易记录等机密信息都是明文,随时可能被泄露、窃取、篡改,...
  • HTTP与HTTPS有什么区别?HTTP协议传输数据都是未加密的,也就是明文的,因此使用HTTP协议传输隐私信息非常不安全。为了保证这些隐私数据能加密传输,于是网景公司设计了SSL(Secure Sockets Layer)协议用于对HTTP...
  • HTTP和HTTPS有什么不同

    2020-08-06 09:13:52
    HTTP和HTTPS是什么? 我们使用浏览器访问一个网站页面,在浏览器的地址栏中我们会看到...一直以来HTTP协议都是最主流的网页协议,但是互联网发展到今天,HTTP协议的明文传输会让用户存在一个非常大的安全隐患。试想一下
  • get和post有什么区别

    2019-08-12 19:25:14
    GET 和 POST 只是 HTTP 协议中两种请求方式(异曲同工),而 HTTP 协议是基于...然而,从传输的角度来说,他们都是不安全的,因为 HTTP 在网络上是明文传输的,只要在网络节点上捉包,就能完整地获取数据报文。 要想...
  • 本篇文章是对php中php_openssl.dll的作用进行了详细的分析介绍...将明文数据转换为密文数据,再进行传输.OpenSSL是一套用于SSL/TLS协议的加密工具,其作用:1.生成私有密钥.2.生成证书,即数字签名证书,它包含一个公有...
  • SS证书有什么用? 第一个作用是:实现加密传输 我们通过http协议访问一个网站的时候,浏览器和服务器之间是明文传输,这就意味着我们填写的密码、帐号、交易记录等一些机密信息都是明文,随时可能会被泄露、被他人...
  • 小程序一直被誉为“APP杀手”。微信庞大社交用户基础,可能带来的...HTTP明文协议是不安全的传输协议,无法进行服务器端真实身份校验,也不能为传输数据提供加密保护,通过HTTP协议传输的数据时刻处在被窃听、篡改、...
  • HTTP和HTTPS的区别,有什么优缺点

    多人点赞 2021-01-31 12:05:37
    因为http在传输的时候是以明文的方式传输数据,这样的话在传输过程中如果被截获就能直接读取信息,所以并不安全,因此需要通过某种方式加密。 怎样解决http不安全的问题呢? 解决方法就是在http的基础上加上了...
  • 如果网站不使用SSL证书,数据以HTTP明文传输,极容易被第三方监听、截取和篡改,而导致用户信息被泄露,给在线用户带来直接损失。 而部署SSL证书后能确保信息传输的安全性,可防止信息泄露。 一、SSL(安全套接字层...
  • 超文本传输协议HTTP协议被用于在Web浏览器和网站服务器之间传递信息,HTTP协议以明文方式发送内容,不提供任何方式的数据加密,如果攻击者截取了Web浏览器和网站服务器之间的传输报文,就可以直接读懂其中的信息,...
  • 1)HTTP协议是以明文的方式在网络中传输数据,而HTTPS协议传输的数据则是经过TLS加密后的,HTTPS具有更高的安全性 2)HTTPS在TCP三次握手阶段之后,还需要进行SSL 的handshake,协商加密使用的对称加密密钥 3)...
  • ③ http信息是以明文方式传递,https是使用ssl加密传输协议传输数据,也就是通过第三方工具可以截取篡改http传输的数据,而https即使截获了没有密钥也白搭。 ④ 传输使用的默认端口也不一样,http使用的是80.https...
  • 传统的HTTP传输协议,是一种明文传输协议。也就是通信过程中都没有对数据进行加密,很容易泄漏数据。 比如泄漏了重要的用户信息、被伪造数据发送、都会造成不小的问题。 所以的朋友就想到可以自己对数据进行加密...
  • HTTPS和HTTP有什么区别

    2018-02-02 15:15:00
    HTTP协议以明文方式发送内容,不提供任何方式的数据加密,如果攻击者截取了Web浏览器和网站服务器之间的传输报文,就可以直接读懂其中的信息,因此HTTP协议不适合传输一些敏感信息,比如信用卡号、密码等。...

空空如也

空空如也

1 2 3 4 5 ... 13
收藏数 257
精华内容 102
关键字:

明文传输数据有什么