HTML、Javascript を使用して簡単なログイン ページを作成しました。「CGI」を使用してユーザー名とパスワードを検証します。ログインボタンをクリックすると、スクリプト「login.cgi」が「AJAX」を使用して呼び出されました。POSTメソッドです。Web サイトにログインしたら、Firefox の [Inspect element] に移動し、[Network] タブをクリックしました。[ネットワーク] タブで「login.cgi」を選択しました。login.cgi を選択すると、Headers、Cookies、Params、Response、および Timings の情報が表示されます。Params フィールドをクリックし、ユーザー名とパスワードをその cgi スクリプトのパラメーターとしてプレーン テキストで表示できることを確認しました。この要素の検査機能からパスワード フィールドを非表示にしたいと考えています。これどうやってするの?
1748 次
1 に答える
1
ストレージのパスワードがハッシュ化されていて、使用されているアルゴリズムがわかっている場合は、パスワードをポストで送信する前に、同じハッシュでパスワードをハッシュ化できます。
次に、この 2 つのハッシュを比較できます。
しかし、これまで見てきたように、これは典型的なネットワークの問題です。SSL 接続を使用して、ネットワーク内の他の人が何らかの攻撃を受けて資格情報を読み取ることができないようにする必要があります。
これは、資格情報を書き込んだユーザーがネットワーク デバッガー タブで自分の資格情報を確認できることではなく、実際の問題です。
于 2016-10-15T11:39:50.073 に答える