摘要:刚到家,正好把前几天学到的东西总结一下。大概是这样的,校园一卡通是用户名位密码,可以在网上查看帐户信息。打开一卡通网站,登陆的地方只有用户名和密码。很常规的做法,调出工作台,自己登陆一次,看看上去的数据。抓包结果显示,用户名和加密的密码。
刚到家,正好把前几天学到的东西总结一下。
大概是这样的,校园一卡通是用户名+6位密码,可以在网上查看帐户信息。不禁让我联想到APR攻击和登陆暴力穷举,毕竟校园卡里面都是钱嘛。
打开一卡通网站,登陆的地方只有用户名和密码。很常规的做法,F12调出工作台,自己登陆一次,看看POST上去的数据。抓包结果显示,用户名和MD5加密的密码。于是我试着手动构造用户名和MD5加密的密码提交上去,结果提示密码错误。再次抓包,发现每次POST数据中加密的密码都不一样~好奇。。。
查看相关源码,弄懂了大概的原理。POST之前,MD5加密密码和一个随机字符串。
password = md5(password+randStr);
这个randStr是每次加载页面时随机程序生成的,也就是说web程序首先生成一个randStr,然后把它保存在session里面,同时输出到前端。前端用随机码加密用户密码之后POST给服务器(str1),服务器再取出session中的随机码对数据库中的用户密码进行加密(str2),再和POST上来的数据做比较(str1 == str2),就可以确定身份了。
这样做的好处在于,就算内网出现了ARP欺骗,也不会泄露出用户密码。
文章版权归作者所有,未经允许请勿转载,若此文章存在违规行为,您可以联系管理员删除。
转载请注明本文地址:https://www.ucloud.cn/yun/20791.html
摘要:也就正式开始了我的前端之路。在这期间,我还购买并配置了自己的云服务器,自己的博客系统,自己的还学会了的基本操作。不必说的是高级程序设计豆瓣链接这本书,也就是大家常说的高程,基本上每个合格的前端程序员都要熟读很多很多次,每次读都会有新发现。 原创 西安前端交流会: 卡农 ovenzeze@qq.com 本文章同步发表在wdShare西安前端交流会网站、我的个人博客以及segmentF...
摘要:也就正式开始了我的前端之路。在这期间,我还购买并配置了自己的云服务器,自己的博客系统,自己的还学会了的基本操作。不必说的是高级程序设计豆瓣链接这本书,也就是大家常说的高程,基本上每个合格的前端程序员都要熟读很多很多次,每次读都会有新发现。 原创 西安前端交流会: 卡农 ovenzeze@qq.com 本文章同步发表在wdShare西安前端交流会网站、我的个人博客以及segmentF...
摘要:在我开发之前只看见上海交通大学完成了自己的二次开发,并且接入了自己学校的统一身份认证系统,除此之外,南京大学也打算做这个东西,然而过去了两年,好像还是没有完成开发。具体的实现可以参照上海交通大学的问卷吧系统。 Limesurvey是一个比较著名的开源问卷调查项目,GitHub地址:https://github.com/LimeSurvey/LimeSurvey 但由于种种原因,虽然用搜...
摘要:老姚浅谈怎么学鉴于时不时,有同学私信问我老姚,下同怎么学前端的问题。撸码听歌,全局控制。 浅析用 js 解析 xml 的方法 由于项目上需要解析 xml,于是各种百度,然后自己总结了下各个主流浏览器解析 xml 的方法,只能是很浅显的知道他的用法,但是还没有深层次的研究。 装 X - 建立自己的斗图网站库 之前加过一个斗图群,看到很多经典的表情,然后就收藏到了 QQ, 迫于本屌丝开不起...
阅读 2935·2021-11-22 09:34
阅读 2576·2021-09-22 15:28
阅读 574·2021-09-10 10:51
阅读 1712·2019-08-30 14:22
阅读 2095·2019-08-30 14:17
阅读 2628·2019-08-30 11:01
阅读 2170·2019-08-29 17:19
阅读 3479·2019-08-29 13:17
