javaweb关于客户端密码md5加密后被抓包工具抓取的问题

发布网友发布时间：2022-05-02 06:30

共5个回答

热心网友时间：2022-04-20 22:10

你描述的问题有点像CSRF攻击，而且你提出来的办法有一定的局限性，比如说如果黑客是同一个局域网的人，这种判断ip地址的方法可能会失效。
其实只要使用https就不存在这种问题，就算是中间被人截取了加密的密码，然后用加密的密码提交表单，最后与后台数据库匹配成功也没有用。因为匹配成功之后，服务端给黑客发送的信息也是经过加密的，但是黑客是不知道密钥，不知道如何对这段信息进行解密，所以不会登陆成功的。这把密钥只有客户端和服务端知道，所有题主担心的问题用https能够解决，这是我的一点见解。

热心网友时间：2022-04-20 23:28

使用非对称加密。
后台随机生成一对秘钥。加载登录页面的时候，先去一次后台拿到后台生成的公钥，然后用这个公钥对密码进行加密，
携带加密后的密文提交登录请求，后台再用私钥进行解密，然后再将密码进行其他加密算法与数据库储存的进行匹对。
即使被抓包，没有私钥的情况下也是没办法的。而私钥永远不对外暴露。这个方案只是针对你从客户端到后台这个过程中不被抓包然后拿你的数据做文章。

热心网友时间：2022-04-21 01:03

换种加密算法

自己写一个加密方法

热心网友时间：2022-04-21 02:54

不是，你说的的加密和抓包的问题，楼主其实不知道，session里面人家早就想好了添加id的做法，也是那么做了，确实可行，因为即使是局域网，不是一台电脑也不行的，最可怕的是有人在你电脑上安装了抓包工具，之后伪装成你的地址和请求，他在你登录前抢先重新登录这样就没办法了．

热心网友时间：2022-04-21 05:02

请问楼主是怎么解决的