首页 | 心情日记 | 建站心得 | 编程技术 | 大盘分析 | 股市信息 | 学习园地 | 电脑技巧 | 物流外贸 | 另类其它 | 站长推荐 | 给我留言 | 相册

用户登陆
用户:
密码:
 
不保存保存一天
保存一月保存一年

站点日历
73 2024 - 11 48
     12
3456789
10111213141516
17181920212223
24252627282930


站点统计

最新评论

日志搜索

 标题   内容


给L-BLOG加上智能黑名单系统 ASP防止站外、跨域提交
未知 网站密码安全攻略心得   [ 日期:2010-03-14 15:03:31 ]   [ 来自:本站原创 ]

海外邮件中继,海外退信中继,美国高速VPS,不限流量VPN,邮局维护和管理,邮件网关,EMOS邮件中继,POSTFIX邮件中继,Winwebmail邮件中继,Winmail邮件中继,DBMail邮件中继,JDMail邮件中继,Exchange邮件中继,MDaemon邮件中继 淘宝店:http://shantan.taobao.com 云邮科技官网:www.yunrelay.com

【字体设置:
现在的ASP网站很流行了,但是随之而来的威胁也是蜂拥而至了。很多站长都没有安全意识,甚至连ASP程序也不懂,做个网站无非就是发发文章或者卖点东西,搞点商业化而已。但是正因为如此,很多网站被那些所谓的黑客给瞄上了,最后是数据库全部被删除等等,导致几年的辛苦功亏一篑了!现在的黑客入侵比较常见的就是SQL漏洞攻击以及密码猜解。

对于SQL入侵,兄弟将在下次的文章中和大家探讨,今天主要讲讲密码猜解的问题。我们知道,现在的网站程序的密码基本都是通过MD5加密的,然后产生一个16位或32位的加密后的密码。以前听说MD5加密是不可逆的,现在通过http://www.cmd5.com基本可以破解11位及11位以下数字、8位小写字母、7位小写字母加数字、6位大小写字母加数字等组合、以及大量其它数据(最长达20位)。看到这样的网站是不是大吃一惊呢?

本人试了不少的密码,居然差不多都被破解出来了,这样还了得啊!不过大家可以完全放心,本站的加密方式是与众不同的,即可黑客得到了加密后的密码,也是100%破解不出原始的密码,因为本站的加密方式是多重的,同时加密程序也是本站独享的。

以前发过一篇文章,关于MD5加密的思考,大家可以搜索一下,其实,只要稍微修改一下程序,MD5的在线破解基本都成了白日梦了。其中的MD5.ASP有很多处都是可以随意修改的,比如:
lX8 = lX And &H80000000
lY8 = lY And &H80000000
lX4 = lX And &H40000000
lY4 = lY And &H40000000
==================
a = &H67452301
b = &HEFCDAB89
c = &H98BADCFE
d = &H10325476
==================
AA = a
BB = b
CC = c
DD = d
==================
a = AddUnsigned(a, AA)
b = AddUnsigned(b, BB)
c = AddUnsigned(c, CC)
d = AddUnsigned(d, DD)
==================
MD5 = UCase(WordToHex(a) & WordToHex(b) & WordToHex(c) & WordToHex(d))
只要修改其中的任意一处或几处,产生的密码字符是100%不同的,对付那么在线破解的程序已经完全足够了,破解也成了空谈,除非他得到了你的加密文件。

另外,除了上面的方法以外,我们还可以采用多次加密的方式,比如:md5(md5(md5("密码"))),再或者经过MD5加密一次以后再截取其中的前面和后面的几位在加密一次,最后再把密文打乱,取中间几位,前面几位,后面几位重新排列,这样的密码他要是还破解出来,那是神仙了!

另外,还可以进行伪装密码,比如本博客的COOKIES,用户登录的时候表面上看会暴露用户的密码,而实际上那是我伪装的密码而已,只不过是用户登录信息中的其中一项用MD5加密以后伪装上去的,真正的密码验证是通过服务器端的SESSION也验证的,所以拿到的不过是忽悠菜鸟的密码而已。

如果你有什么好的建议和意见,欢迎共同探讨!

按此在新窗口打开图片

暂时没有评论
   发表评论 - 不要忘了输入验证码哦!
作者: 用户:  密码:  我要注册 验证码: 
为防止广告注册机程序,验证码不会自动显示,请点击此处显示或者(刷新)验证码!
评论:

禁止表情
禁止UBB
禁止图片
识别链接
识别关键字
确定发布?
最多可以输入200个字,目前你已经输入了0个字;你今日还可以发表10条评论!
 
   

CopyRight © 2008-2010 广东金融学院030904班 All Rights Reserved
Powered by www.030904.com