`
sunnylocus
  • 浏览: 876650 次
  • 性别: Icon_minigender_1
  • 来自: 美国图森
社区版块
存档分类
最新评论

给Iteye的安全建议(关于用户登陆风险)

阅读更多

在讨论这个问题之前,我先假设一个场景,我相信这个场景也适用于正在看该文章的老兄。现在IT公司里从事Java研发的开发者居多,我相信大部分人都会有iteye的账号,我们假设在同一个公司里有这们两个人A和B,A和B因为某种原因积怨很深,A一直想找机会整下B出下恶气,A偶然发现B有写博客的习惯,A决定把B写的所有博客都删掉,让他多年的技术沉淀打水漂。A想到了用ARP欺骗+嗅探数据包的方式窃取B的登陆用户名和密码。

ARP欺骗原理:

主机在两种情况下会保存、更新本机的ARP缓存表,
1. 接收到“ARP广播-请求”包时
2. 接收到“ARP非广播-回复”包时

从中我们可以看出,ARP协议是没有身份验证机制的,局域网内任何主机都可以随意伪造ARP数据包,ARP协议设计天生就存在严重缺陷。

假设局域网内有以下三台主机(其中GW指网关),主机名、IP地址、MAC地址分别如下:
主机名 IP地址 MAC地址
GW 192.168.0.1 01-01-01-01-01-01
PC02 192.168.0.2 02-02-02-02-02-02
PC03 192.168.0.3 03-03-03-03-03-03

在正常情况下,主机PC02与GW之间的数据流向,以及它们各自的ARP缓存表如下图所示:

A用计算机PC03首先向B的计算机PC02发送了一个ARP数据包,作用相当于 告诉PC02:“嘿,我是192.168.0.1,我的MAC地址是03-03-03-03-03-03”,接着他也向网关发送了一个ARP数据包,作用 相当于告诉网关:“嘿,我是192.168.0.2,我的MAC地址是03-03-03-03-03-03”。于是,主机PC02与GW之间的数据流向, 以及它们各自的ARP缓存表就变成如下图所示:

 

ARP欺骗之后,B与网关通信的数据都会经过A的计算机,即A已经掌控了它们之间的数据通讯。A在捕获了一段时间的数据包开始分析数据包,找到了B登陆Iteye用户名和密码,如图

 

 

解决方案:

  1. 将密码在发送到服务端之前进行加密,如MD5
  2. 用Https协议传输用户名和密码。

 

分享到:
评论
2 楼 Reset 2014-06-11  
MD5(密码+验证码)

验证码不往后台传...
1 楼 liguocai2009 2012-07-18  
MD5是没用的。必须https。MD5还必须加上验证码才是安全的

相关推荐

    Python-pwndbpy是一个python命令行工具用于使用具有相同名称的Onion服务搜索泄露的凭据

    **安全建议** 使用pwndb.py发现泄露的凭据后,用户应立即采取以下措施: 1. **更改密码**:如果发现某个账户的凭据已被泄露,应立即更改该账户的密码,并启用两步验证增强安全性。 2. **监控账户活动**:设置异常...

    Everything

    然而,由于其强大的搜索能力,建议用户谨慎对待敏感信息的存储,避免在系统中保留不必要的个人数据。 总的来说,"Everything"是一款强大且实用的文件搜索工具,尤其适合需要频繁查找和管理文件的用户。它的高速、...

    Windows XP减肥专家 1.3正式版

    【Windows XP减肥专家1.3正式版】是一款针对...同时,由于减肥过程涉及到系统核心部分,因此不建议新手用户随意尝试,以免造成不可逆的系统损坏。在使用任何系统优化工具时,理解其工作原理和可能的风险是至关重要的。

    mac downloads

    7. **安全下载策略**:建议用户只从可信赖的源下载文件,避免未知或不受信任的网站。对于软件安装包,确保它们来自官方开发者或经过验证的第三方市场,以降低病毒感染的风险。 8. **文件扩展名检查**:MAC系统允许...

    解决PDF文件无法打印的问题(安全保护)

    同时,由于这类工具可能存在安全风险,比如恶意软件,因此应从可靠来源获取,并在安全的环境中运行。 总的来说,PDF文件无法打印的问题可以通过检查PDF安全设置、使用Adobe Acrobat或第三方工具如pwdremover_pdf....

    ArcSight_ESM_AdminGuide

    它能够收集、关联和分析来自不同源的日志和事件数据,帮助组织检测异常行为,识别潜在的安全风险,并快速响应安全事件。 ### ArcSight ESM v4.0 SP1管理员指南概览 该文档详细介绍了如何管理和操作ArcSight ESM v...

    道道通w20版

    因此,建议用户优先选择官方渠道获取更新,以保证数据的安全性和软件的稳定性。 4. **安装说明**:对于软件更新,安装说明是必不可少的,它会指导用户如何正确操作,避免因误操作导致的问题。用户应严格按照说明...

    邮件系统代码

    - 考虑使用现代前端技术(如React、Vue等)替换框架布局,提高用户体验和网站性能。 - 对于老旧的XHTML规范,建议迁移到HTML5,以利用更多的新特性和支持更好的跨浏览器兼容性。 - 对于JavaScript代码,可以采用...

    最小巧的杀毒工具 软件

    值得注意的是,由于ClamWin不包含反间谍软件或防火墙功能,所以建议与具有这些特性的其他安全软件配合使用,以获得全面的防护。同时,ClamWin依赖于病毒数据库的更新,因此定期下载并安装最新的数据库非常重要,以便...

    IBM AppScan 软件解决方案资料

    IBM AppScan是一款强大的静态应用程序安全测试工具,专为检测软件中的漏洞和安全风险而设计。它可以帮助开发者在编码阶段及早发现并修复潜在的安全问题,从而提升应用的安全性。AppScan支持多种编程语言,包括Java、...

    硬盘低格工具-很好用的低格工具

    总的来说,硬盘低格工具是一个强大的工具,它可以彻底清除硬盘上的所有信息,但同时也需要用户了解其潜在风险和正确使用方法。在日常使用中,除非必要,一般不建议频繁进行低格操作,以免对硬盘造成不必要的损害。

    S60V3 QQ安全助手:双核引擎查杀+云查杀

    腾讯移动安全实验室建议用户定期更新病毒库和安全助手软件,以保证能够及时有效地查杀最新的手机病毒,避免遭受不必要的损失。 综上所述,S60V3 QQ安全助手的“双核引擎查杀+云查杀”技术,不仅可以提供全面的手机...

    S-ON非白卡机福音Incredible S 临时取得root权限方法

    因此,除非用户熟悉Android系统并愿意承担风险,否则不建议轻易尝试。 7. **源码和工具**:标签中的"源码"可能指的是用于创建这些工具或脚本的原始代码,而"工具"则涵盖了上述所有用于root过程的软件。 由于没有...

    文件的属性时间修改器

    然而,需要注意的是,不正确或恶意地修改文件时间属性可能引发安全问题,比如误导用户关于文件的新旧,甚至可能导致数据丢失或破坏。因此,只有在必要和了解潜在风险的情况下,才应使用此类工具。 "FileDate.exe...

    xp系统登陆样式

    5. **安全注意事项**:强调修改系统文件和注册表的风险,可能会导致系统不稳定或安全问题,建议备份相关文件和数据。 6. **代码示例**:如果是针对开发者的,可能会提供一些简单的源码示例,展示如何通过编程方式...

    应用程序安装

    因此,始终建议从可信赖的来源,如Google Play Store下载应用,并保持设备和应用的更新以防范安全威胁。 6. **系统兼容性**:不同的Android版本可能对应用有不同的支持。开发者通常会针对不同API级别进行测试,以...

    java 用jdbc方式以 sys账号连接oracle数据的问题

    - **安全性**:由于sys用户具有高权限,不建议在应用程序中直接使用sys登录进行常规操作,这可能导致安全风险。最好创建具有特定权限的用户,并为这些用户分配合适的角色。 - **以SYSDBA身份连接**:sys用户通常...

    XSS漏洞

    博客链接提到的“https://0001111.iteye.com/blog/1440168”可能是一个关于XSS漏洞防范的详细讨论,虽然具体内容无法直接提供,但我们可以根据这个话题来深入讲解XSS的相关知识。 XSS攻击主要分为三类:反射型XSS、...

    最华丽的EXE文件锁 Ael

    描述中提到的链接指向了一个名为“iteye”的博客平台上的文章,遗憾的是,由于这里没有提供实际的博文内容,我们无法直接获取关于Ael的详细信息。通常,这种博客文章会包含工具的功能、如何使用、安装指南、优点和...

    sql注入

    SQL注入是一种常见的网络安全威胁,它发生在应用程序未能充分验证或过滤用户输入的数据,导致恶意SQL代码被插入到数据库查询中。这种攻击方式可以被黑客利用来获取、修改、删除数据库中的敏感信息,甚至完全控制...

Global site tag (gtag.js) - Google Analytics