基于Burpsuite的安全测试六:密文对比认证测试
情景1:用户密码加密方式
- 在前台浏览器客户端对密码进行加密,即登录时提交密码为加密后的密文传输,这个密文是前端通过本地JS脚本实现的,如本系统为MD5加密
这样可以通过暴力破解方式得到用户的登录密码
- 在服务器端对密码进行加密算法,即服务端收到用户名密码后才经过加密算法和数据库对比,相同则可登录。
- 第二种比较安全,因为第一种方式很容易从代码中获取到加密过程。
系统修复方案:
最好将密码加密过程和密文对比过程放在服务器后台执行,后台通过指定的加密方式将密码加密处理后和后台数据库中加密保存的密码做对比,相同则允许登录。