散列安全漏洞-如何修复？

Question

我已经开发了我的应用程序来使用加盐的SHA-512密码散列。

如果黑客要获取哈希，我可以做些什么来防止黑客使用Greasemonkey更改登录页面，以使密码不被哈希？我预见的攻击向量将使他们能够在密码输入中输入他们已经获得的哈希，然后Greasemonkey修改的页面按原样发送该信息(没有对输入的密码进行哈希处理，这就是实际的哈希)。

这只是如何使用获得的散列的一个示例。还有其他方法可以用Greasemonkey修改站点的代码以达到相同的结果。

我想不出任何方法来防止这种类型的攻击。

这里有没有人想出什么办法来？

Answer 1

在服务器上散列您的密码。使用SSL通过网络进行保护。

Answer 2

这个问题是关于Greasemonkey截取密码的漏洞，对吗？

在这种情况下，SSL nothing为了防止用户的凭证被盗，密码(或哈希等)将直接从用户的浏览器中获得，并通过GM_xmlhttpRequest()传输给坏人。

如果您尝试对密码进行编码或哈希处理，客户端的Greasemonkey可能会截获甚至替换负责的JS。

看看"Can a website know if I am running a userscript?"，你可以让脚本编写者更难，但最终，如果坏人可以让用户安装Greasemonkey脚本(或者更糟糕的是，一个完整的插件/扩展)，那么你只会让用户的帐户更难--并非不可能--被攻破。

我甚至不会担心它，直到/除非你有证据表明恶意脚本或附加组件正在使用。最终，用户要负责保留他的浏览器和客户端交互，即。

您可以做的事情使脚本编写者更难(并非不可能)：

如果检测到实际的脚本或策略，请监控您的日志，检查异常活动(如果检测到实际的脚本或策略，则应执行此操作以保护example.

• Warn用户免受

1. 一般的攻击，请参阅"When the bots attack!" )。
2. 监视用户的帐户/操作异常activity.
3. You可以截获输入的密码，使用JS和一次性编码一些方法。这将过滤掉因果脚本编写者，但不会过滤出确定的脚本编写者。请注意，我不建议这样做，只是包括它的completeness.
4. Put的密码输入在闪光对话框中。纯Greasemonkey很难与Flash进行交互。再说一次，我不认为这是有成本效益的，但为了完整性而将其包含在内。对于合法用户，
5. 不再需要任何繁琐的步骤(一次性密码、第三通道身份验证等)。这只会惹恼那些永远爱你的受害者，直到他们找到更好的选择或变通办法(他们会找到的)。