科鼎POST加密分析工具可以幫助你快捷方便的對POST加密分析,軟件綠色免費,使用簡單方便,非常實用。
功能介紹:
支持URL加密(GBK方式、UTF-8方式)和MD5加密,是一款不錯的POST加密分析工具。
POST數(shù)據(jù)加密問題
首先來說,目前常用的方式有兩種,
瀏覽器端安全控件,淘寶、銀行等均采用該方式,優(yōu)點是安全系數(shù)高,缺點是投資較大;
使用ssl方式完成登陸,安全系數(shù)一般,投資較低(需要申請ssl證書)
至于使用js在post前加密從原理上來說是根本沒有意義的,就像你說的,js是明文的,所以破解并不難
如果你要開發(fā)的應用對安全性有要求,建議采用ssl方式即可,如果對安全性要求極高,選擇安全控件。
事實上,對于80%的網(wǎng)站,登錄信息安全問題并不重要,尤其是抓包導致泄露的幾率極低。因為抓包這個事其實技術門檻還是很高的,如果盜取的賬號沒有極高的價值很少有人會去做。就像微博,QQ等,服務商也只是提供了各種密保,而沒有針對賬號提交過程提供太大的保護。
99%的賬號丟失問題來自于木馬,通過監(jiān)控鍵盤事件完成盜取,而這種行為js根本無能為力。甚至前面說過的兩種加密方式也同樣。
對于普通的網(wǎng)站,通常的手法就是要求認證用戶的安全郵箱,當密碼丟失的時候可以通過安全郵箱重置密碼,這就足夠了。不建議嘗試額外的手機找回密碼、身份證綁定之類的功能,除非您的網(wǎng)站已經(jīng)足夠強大,否則有一點安全知識的人都不會在莫名其妙的網(wǎng)站上輸入自己的手機號和身份證的。同理,就算你提供了安全控件,很多人可能也不會選擇安裝,因為你沒辦法證明自己提供的安全控件是安全的。
不要把抓包想的太容易哦,誰知道用戶什么時候會登錄,從什么地方過來,發(fā)到哪里,總不能24小時盯著吧?費這么大勁偷到了,連幾千塊錢都不值,他不是白費力氣吧?能用這種方式盜取信息的人,你覺得他會對萬把塊的小錢感興趣嗎?除非是有人花錢請他對你的網(wǎng)站惡意攻擊。也簡單,平時注意備份就好了。和洪水地震的幾率差不多。
php怎么在post前加密用戶名密碼
如果要加密的話,只能用js版md5加密密碼,用戶名估計還是得明碼傳送。因為md5算法是不可逆的,你后臺無法對已用md5加密的字符串進行解密,除非用暴力破解。如果真的對安全性要求那么高,不如直接對appache設置為https的安全鏈接,類似網(wǎng)銀的做法。這樣所有的post內(nèi)容在發(fā)送時都是加密的,到后臺以后會自動解密。不過這種方法速度上會比一般的http慢。
- PC官方版
- 安卓官方手機版
- IOS官方手機版