【发布时间】:2011-02-18 02:10:50
【问题描述】:
为了保护 Ajax 请求,Ran Bar-Zik sugested“创建一个小闪存文件来接收数据,对其进行 SALT 并用 MD5 加密。然后将其发送到服务器。攻击者能够看到数据,但它已加密。”有没有人愿意与全世界分享代码?谢谢:-)
【问题讨论】:
-
顺便说一下,md5是消息摘要算法,不是加密方法。
标签: ajax security jquery flash
为了保护 Ajax 请求,Ran Bar-Zik sugested“创建一个小闪存文件来接收数据,对其进行 SALT 并用 MD5 加密。然后将其发送到服务器。攻击者能够看到数据,但它已加密。”有没有人愿意与全世界分享代码?谢谢:-)
【问题讨论】:
标签: ajax security jquery flash
Ran Bar-Zik 先生弄错了。他提出的安全系统违反CWE-602,是“(in)security though obscurity”。
简而言之,问题在于服务器正在向客户端应用程序提供数据。客户可以为所欲为。他可以使用 TamperData 或 Burp Proxy 修改 javascript 代码或拦截和修改所有通信。可以反编译 Flash 应用程序,并且可以使用 ollydbg 之类的调试器获取存储在内存中的任何秘密。 这个问题没有解决办法。
【讨论】: