不过要说明的是，我排除的是这种行为 <- 中国开发网

CNDEV.ORG

当前在线

论坛

CBD
- 程序员情感CBD
- 程序员见面交流会
CBD开发区
- Java/J2ME
- .NET/C#
- 数据库
- Delphi/BCB
- Visual C
个人
- 袁国术的个人网站
- 翟旭东网!!!
其它
情感
游戏
- CNDEV-CS/WOW
- 浩宇长空
生活
论坛系统

中国开发网: 论坛: 程序员情感CBD: 贴子 213508

haitao：

不过要说明的是，我排除的是这种行为

[阅读: 557] 2005-10-13 05:59:47

那用户密码表里自己的帐号里的密码hash值，暂时替换某个人的密码hash值，然后用自己的密码登录那个人的帐号作坏事或高权限的事
事后再用原来的hash值更新回去

如果他知道系统程序的细节，那就不在考虑范围

相关信息:

dearbook真的不是一般的差阿，电子商务网站居然还是用明码保存密码 (49字) (Water-E [752] 2005-10-13 09:59)
- 不要在网上付帐就行了。 (空) (pcplayer [481] 2005-10-13 10:00)
- 好多网站都是这样，这个指示通知你初始密码让你去修改。 (空) (老玉米 [434] 2005-10-13 10:00)
  - 不是初始密码，就是俺自己输入的密码。 (空) (Water-E [419] 2005-10-13 10:04)
    - 问问grhunter怎么弄得？ (空) (老玉米 [466] 2005-10-13 10:15)
      - grhunter 在 dearbook 的干活？ (空) (pcplayer [386] 2005-10-13 10:24)
        是一家公司... (空) (Water-E [446] 2005-10-13 12:57)
      - grhunter说他管不了 (18字) (Water-E [518] 2005-10-13 12:57)
        韩磊还真找曾登高说了。 (42字) (Water-E [559] 2005-10-13 16:04)
        中国软件开发,缺乏的是常识 (空) (sealw [473] 2005-10-13 16:57)
- 电子邮件能做为法律证据么？可能要请教一下花花才行！ (空) (fogbound [635] 2005-10-13 10:01)
- 呵呵……，人家密码怎么存无所谓呀，密码汇露怎么能证明是人家泄露的。 (空) (没脾气2x [416] 2005-10-13 10:15)
  - 很多用户就是想让你告诉他以前什么密码，你给人家重置一个新的，人家还觉得不方便呢。 (空) (没脾气2x [492] 2005-10-13 10:15)
    - org的密码是明文存的不？ (空) (Water-E [488] 2005-10-13 10:22)
      - 嘎嘎，你试试 (空) (没脾气2x [395] 2005-10-13 10:23)
        过2天俺就把密码改成这个 (11字) (Water-E [571] 2005-10-13 10:27)
        好密码。 (4字) (ycm0263 [446] 2005-10-13 11:20)
  - 差别可大了，商务网站有义务保护用户私密信息。 (69字) (Water-E [518] 2005-10-13 10:22)
    - 我弄电子商务会考虑这个，不考虑这个的有大人在。 (空) (没脾气2x [502] 2005-10-13 10:24)
- 它倒不一定保存是明文。它给你的可能是人家解密后的呢。 (空) (pcplayer [521] 2005-10-13 10:25)
  - 那和明文有啥区别，能得到数据库的话算法不是小菜。保存密码一定要是hash过的 (空) (Water-E [551] 2005-10-13 10:28)
    - 那是。这样的加密，防不了内部人偷。 (空) (pcplayer [468] 2005-10-13 11:19)
    - 那是古老的做法 (26字) (JoJo [501] 2005-10-13 13:05)
      - 哦？说说用hash不能解决啥问题？ (空) (Water-E [417] 2005-10-13 13:07)
        可以改啊 (46字) (JoJo [532] 2005-10-13 13:09)
        你的意思是攻击者把保存在数据库里的密码改掉？ (空) (pcplayer [442] 2005-10-13 13:12)
        是啊 (11字) (JoJo [464] 2005-10-13 13:14)
        那他也可以把密码改掉后再做非对称加密，再把证书都换掉。 (空) (pcplayer [394] 2005-10-13 13:16)
        换掉证书时间戳就不一致了 (15字) (JoJo [523] 2005-10-13 13:18)
        如果假设能拿到数据的控制权，也能假设得到系统的控制权。 (13字) (GoodHope [529] 2005-10-13 13:46)
        还是不行 (31字) (JoJo [462] 2005-10-13 14:02)
        这还不容易 (21字) (GoodHope [477] 2005-10-13 14:05)
        这个问题我早就解决了 (6字) (haitao [456] 2005-10-13 13:17)
        说出来听听 (9字) (JoJo [500] 2005-10-13 13:19)
        先看看其他人有没有想到的吧。。。 (38字) (haitao [445] 2005-10-13 13:21)
        不过要说明的是，我排除的是这种行为 (106字) (haitao [556] 2005-10-13 13:59)
        替换攻击都不防，还搞什么啊 (空) (JoJo [468] 2005-10-13 14:08)
        防的就是拿其他人现成的hash值来替换啊 (空) (haitao [429] 2005-10-13 14:12)
        如果是非对称加密，加密解密过程是可逆的，如果得到密钥以后仍然可以密码的明文。 (24字) (Water-E [684] 2005-10-13 13:24)
        如果应用这种系统 (23字) (JoJo [453] 2005-10-13 13:27)
        蛋又扯远了，俺说的是保护用户密码的私密性。 (空) (Water-E [517] 2005-10-13 13:41)
        那就只对管理员做这一重处理即可 (20字) (JoJo [435] 2005-10-13 14:06)
- 没准人家给你的是一次性的。。。 (空) (MaoMao [422] 2005-10-13 11:18)
- 记得以前刚毕业的时候把公司的数据库的记录用户的表用delphi写了个工具把所有的密码明文都转化成了2进制代码 (19字) (fogbound [756] 2005-10-13 13:58)
  - 你们领导也太容易目瞪口呆了 (空) (zengr [490] 2005-10-13 15:11)
    - 在重庆的时候的那家公司的领导，比较会吹侉侉而已！ (空) (fogbound [444] 2005-10-13 16:07)

欢迎光临本社区，您还没有登录，不能发贴子。请在这里登录

页面内容处理时间: 0.016 - 535896