首先,还是回顾一下windows系统密码Hash的一些知识吧:(下面这段来自网络) 首先介绍一下windows密码Hash: 早期SMB协议在网络上传输明文口令。后来出现"LAN Manager Challenge/Response"验证机制,简称LM,它是如此简单以至很容易被破解。微软提出了Win...
网络文件系统共享是Linux系统中一种简单的文件共享服务,它的特点是配置简单、易于使用;缺点是没有安全验证机制,安全性比较低。一般应用在服务器的集群中相互信任的小范围的场景。步骤一:安装服务1.准备网络环境:2台Linux主机,一台为服务器端,另一台为客户端。在服务器端..
分类:
系统相关 时间:
2015-03-18 18:34:17
阅读次数:
193
我们需要综合考虑下面这些因素:
系统所提供功能的安全程度;
用户对不同类型的验证控制的容忍和接受程度;
支持一个不够友好的界面需要的整体成本(便捷和安全往往是一个事物...
分类:
其他好文 时间:
2015-03-10 09:00:17
阅读次数:
112
1、 前提执行安全的验证机制,不仅仅要同时满足几个关键安全目标,许多的时候也需要牺牲其他目标。比如易用性、成本、还有功能。2、 正确处理验证信息的基本要求一些基本要求,写下来,以后也可以参考。
1. 要确认完整的用户名和密码等信息;也就是说,要区分大小写,不过滤或者修改任何字符,不添加也不截断...
分类:
其他好文 时间:
2015-03-10 08:59:55
阅读次数:
152
首先需要声明,本文纯属一个毫无远见和真才实学的小小开发人员的愚昧见解,仅供用于web系统安全方面的参考。1、 前提执行安全的验证机制,不仅仅要同时满足几个关键安全目标,许多的时候也需要牺牲其他目标。比如易用性、成本、还有功能。2、 防止滥用密码修改的基本要求一些基本要求,写下来,以后也可以参考。
1. 加一个简单图片验证码,基本确保是人在操作,而不是机器;
2. 只能从已经通过验证的会话中访...
分类:
其他好文 时间:
2015-03-10 08:59:45
阅读次数:
165
用户角色变更的应用,在一般的纯互联网应用中,是非常少见的。但是在一些其他的行业,比如我所熟悉的语音行业,就是非常常见的。
我们在电视里也经常看到,某某金融大鳄给经纪人打电话,这个股票,给我买入1000万;那个股票,马上现价抛出。
在这个时候,接听电话的经纪人就和金融大鳄的角色进行...
分类:
其他好文 时间:
2015-03-09 12:51:36
阅读次数:
113
互联网中,有用户注册的地方,基本就会有密码找回的功能。
密码找回功能一般不太被重视,往往是一个附属功能,简直就是一个天生的大坑,而且在越来越重视用户友好体验的今天,支持各种密码重置的功能层出不穷,功能越多,被攻击面也越多。
而密码找回功能里可能存在的漏洞,很多系统的所有者、架构师...
分类:
其他好文 时间:
2015-03-09 12:51:25
阅读次数:
119
一些应用程序根据某种顺序自动生成帐户名,当然,现在邮箱、手机、QQ号码成为用户名的可能性越来越高,攻击者们也越来越省事了;
一些应用程序在大批量创建用户之后,并自动指定初始密码,然后通过某种方式(邮件、短信)将密码分配给用户。2、 常见的可预测用户名和密码的漏洞用户名和密码都能够预...
分类:
其他好文 时间:
2015-03-09 12:50:15
阅读次数:
138
当我们登陆某个网站时,在登陆的旁边会有一个”记住我” 的复选框,这个登陆时的用户名和密码 就是一种状态,这个记住我是怎么实现的呢?其实就用利用的是cookie,当我们选择了”记住我”以后,浏览器会将用户名保存在浏览器的cookie中,我们下次登陆的时候,就会自动的去找cookie了。...
分类:
其他好文 时间:
2015-03-09 12:49:25
阅读次数:
114
