首页新闻找找看学习计划

请问黑客攻击web及盗取账号密码的常见思路?web交易安全防范策略?如锁定机器的方案等

1
悬赏园豆:10 [待解决问题]
我是web虚拟交易平台开发者,近段时间出现好几起账户资金被盗的案件,程序没有查到明显的漏洞,备感疑惑;攻击者盗取了用户的账号密码,甚至支付密码!试问盗号除开木马植入,还有什么比较高明的方式?不排除抓包、解析签名鉴权机制的可能……如能协助发现问题,不胜感激!
Brown Qin的主页 Brown Qin | 初学一级 | 园豆:192
提问于:2014-05-15 07:31
< >
分享
所有回答(5)
0

数据库里存放的密码是明文?如果是双重加密还被盗,那可以认为不是被拖库。

丁学 | 园豆:18530 (专家六级) | 2014-05-15 08:46

不是明文,自己的算法加密

支持(0) 反对(0) Brown Qin | 园豆:192 (初学一级) | 2014-06-26 10:09
0

我可以帮你看看。我以前帮人维护平台,也经常被盗。

anakinf | 园豆:204 (菜鸟二级) | 2014-05-15 09:04
0

我最常用的手段之一就是先模拟一次正常的虚拟交易,抓包或工具录制成功的交易请求,分析请求找开发时忽略的一些漏洞,比如某重要回话没有唯一标示啦什么的...拼装消息,模拟请求进行攻击。这是比较简单实用的,对一些少网站很容易搞定,你可以看看我的博客中有一篇文章《某听书网站系统漏洞,利用抓包拼接方式获取网站资源》 O(∩_∩)O哈哈~   声明 我不是黑客 

CTO老王 | 园豆:218 (菜鸟二级) | 2014-05-20 18:01

受教,拜谢大拿!

支持(0) 反对(0) Brown Qin | 园豆:192 (初学一级) | 2014-06-26 10:10

自认为签名鉴权还是到位的,抓包不至于破解密码,我是想了解拿密码有哪些惯招?

支持(0) 反对(0) Brown Qin | 园豆:192 (初学一级) | 2014-06-26 10:13

@Brown Qin: 网站从设计到运维,肯定不会是十全十美,从低级SQL注入到ssl心血漏洞,我觉得吧,关键在于开发的安全防范。 O(∩_∩)O哈哈~是不是该把豆豆给我啦~~~~~~~~~

支持(0) 反对(0) CTO老王 | 园豆:218 (菜鸟二级) | 2014-07-04 14:21
1

学习了..

Even丶 | 园豆:218 (菜鸟二级) | 2014-05-29 13:57
0

关注,期待高手解答!

masque | 园豆:210 (菜鸟二级) | 2014-06-26 10:03
清除回答草稿
   您需要登录以后才能回答,未注册用户请先注册