推 kerash:依照原發問的要求,單一個網頁(index) ajax 抓資料的話 04/17 14:50
→ kerash:如果你這個方法用到 md5,在設定 code 得動態跑 md5 04/17 14:50
→ kerash:那用 js 跑 md5 時就會知道丟什麼參數進去了說.. 04/17 14:51
→ kerash:除非是跑兩層,第一層先拋第一次參數後多跑一個加密頁 04/17 14:51
→ kerash:等把code加上去後再curl到第二頁回傳(當然這樣會很麻煩...) 04/17 14:52
md5不會放在js這邊產生,因為這樣privateKey就失去意義了
以ID=3,Name=Dio為例,程式碼應該如下:
################
<?php
$data["ID"]=$ID;
$data["Name"]=$Name;
$code=getSign($data,$privateKey);
?>
aaa.php?ID=<?php echo $data["ID"]?>&Name=<?php echo $data["Name"]?>&code=<?echo $code?>
################
我是覺得大部分的狀況下ID,Name的值是由Server帶進Client端的
所以Code也由Server端帶出來的很合理。
而getSign($ary,$key)是產生code的function
推 LPH66:其實重點只在說有心人還是能夠模仿 browser 所送出的 req 04/17 15:44
→ LPH66:所以很多東西其實都是防君子不防小人... 04/17 15:45
你說的對,很多東西是防不勝防,端看我們開發者能盡多少心力
不可能直接敞開大門任人存取
※ 編輯: dio833 來自: 61.66.243.96 (04/17 16:04)
推 kerash:當然如果複雜度高的話還是勉強可以防 ...... 一下QQ 04/17 15:56
推 kerash:這部分要考慮看原發問是否考慮到連接的網頁要不要加參數 04/17 16:12
→ kerash:以及在使用時會經過一段瀏覽器處理的換頁 04/17 16:13
→ kuAIpAI:我相信沒有人會發現 md5('我很帥')加密法 ya~ 選我選我~ 04/17 16:17
我推測其他網友說的md5('我很帥')會replay attack的意思是,因為md5中使用固定的值。
會導致驗證的參數永遠固定,這樣一下就被看穿
假設md5("我很帥")的值是"帥到爆"
以本篇文章的例子來說的話,Client的結果如下
ID=3&Name=Dio&code=帥到爆
ID=4&Name=Neo&code=帥到爆
Code不因其他參數的變化有所變化
這樣就失去傳Code的意義了
反正對方只要多傳個"帥到爆",其他參數任填,都可以用力的try Server的Response
※ 編輯: dio833 來自: 61.66.243.96 (04/17 16:35)
→ kuAIpAI:我當然不會這樣寫 我只是要跟他說可以傳參數去防而已..... 04/17 16:36
→ kuAIpAI:你也認真了...跟鄉民認真就....恩阿(奔) 04/17 16:36
→ dio833:privateKey用"我很帥"我倒是蠻贊同的 04/17 16:38
→ MOONRAKER:我何必知道md5('我很帥')的plaintext... 04/17 18:48
→ MOONRAKER:我只要用一隻眼睛看一眼get的參數,或者累一點多用一隻 04/17 18:48
→ MOONRAKER:眼睛看http傳送的header,就會看到有一個參數永遠都是 04/17 18:50
→ MOONRAKER:5beda80a8feb2b877702463d961eac1f不會變,我就把他存起 04/17 18:50
→ MOONRAKER:來replay就好了,誰管你plaintext是什麼鬼… 04/17 18:50
→ MOONRAKER:Ku老兄你也真是夠了,胡扯被戳破就說你不是要這樣說 04/17 18:51
→ MOONRAKER:還繼續扯「認真就輸」,你最好祈禱不要有人被你誤導 04/17 18:52
→ MOONRAKER:寫個爛code,一輩子都記得你 04/17 18:53
→ chrisQQ:不就是 name id code pair 記下來就可以連了嘛… 04/17 18:53
你說的對,這個目的只能避免窮舉法
當前的參數配對的code是一樣的,但可避免的被人改換參數值,用spider抓光
另外前文有提到,可以加個time參數納入md5混淆,Server端接到參數後
可以比對時間差,這樣可以確保時效性,例如設定時間差600
這樣的話同一組參數,只有10分鐘有效,十分鐘過後,參數就失效了
※ 編輯: dio833 來自: 59.120.148.186 (04/17 19:29)
→ kuAIpAI:我只能說 我只是給方向 剩下的我也不想多說了~~ (菸) 04/17 23:42