【活動j結(jié)束 獲獎名單公布】從近期互聯(lián)網(wǎng)企業(yè)密碼泄露探討如何構(gòu)建一個安全的系統(tǒng)

king_819

    大家可能有這樣的經(jīng)歷，當你對一上網(wǎng)站感興趣的時候，準備注冊個帳號玩玩，在申請的過程中發(fā)現(xiàn)自己常用的用戶名、郵箱卻不可用，自己明明沒注冊的，卻又可以正常登錄，這就是所謂的“被注冊”，現(xiàn)在的一些互聯(lián)網(wǎng)企業(yè)為了“忽悠”VC來進行融資，通過刷庫的方式來實現(xiàn)注冊量的幾何式增長

yanyangtian4502

我給段代碼出來吧：
因為對C++與php知之甚少，所以我就用C#代碼寫出來，熱心的朋友轉(zhuǎn)為其他代碼，請發(fā)上來吧，多謝啊！

搞個圖片看看把，看著好一點：


代碼也放：（兄弟們，積極參與啊！我喝口水去，搞了一上午了）

private bool IsPasswordValid(string password, byte[] savedSalt, byte[] savedHash)
    {
        // 將字符串密碼轉(zhuǎn)為字節(jié)
        byte[] clearTextBytes = Encoding.UTF8.GetBytes(password);

        // 創(chuàng)建一個字節(jié)數(shù)組包括明文密碼和salt的值
        byte[] clearTextWithSaltBytes =
        new byte[clearTextBytes.Length + saltBytes.Length];

        // 把將明文密碼的字節(jié)copy到新的字節(jié)數(shù)組中
        for (int i = 0; i < clearTextBytes.Length; i++)
            clearTextWithSaltBytes = clearTextBytes;

        // 將salt值的字節(jié)數(shù)組也放在新的字節(jié)數(shù)組中
        for (int i = 0; i < saltBytes.Length; i++)
            clearTextWithSaltBytes[clearTextBytes.Length + i] = saltBytes;

        // 選擇一個hash算法
        HashAlgorithm hash = new SHA256Managed();

        //生成hash值
        byte[] currentHash = hash.ComputeHash(clearTextWithSaltBytes);
        
        // 將生成的hash值與數(shù)據(jù)庫中保存的hash值比較
        bool matched = false;

        if (currentHash.Length == savedHash.Length)
        {
            int i = 0;
            while ((i < currentHash.Length) & &(currentHash == savedHash))
            {
                i += 1;
            }
            if (i == currentHash.Length)
            {
                matched = true;
            }
        }
        return (matched);
    }

king_819

yanyangtian4502 發(fā)表于 2012-01-04 10:38
剛剛零零碎碎說了一些散列（HASH,SHA）的話題。其實散列的“單向性”很適合我們保存密碼。但是保存密碼也不 ...

     所謂加鹽（SALT）其實很簡單，就是在生成HASH時給予一個擾動，使HASH值與標準的HASH結(jié)果不同，這樣就可以抗彩虹查表了

   現(xiàn)在的互聯(lián)網(wǎng)企業(yè)更多的追求效率和高可用，安全這塊反而考慮的較少，在做架構(gòu)設計之初安全和效率之間要進行平衡

yanyangtian4502

回復 23# king_819
安全，基本不考慮！隨便找?guī)讉�站點，都可以看到跨站腳本攻擊的問題！現(xiàn)在互聯(lián)網(wǎng)流行：快魚吃慢魚。起的快，落得快！



   

king_819

yanyangtian4502 發(fā)表于 2012-01-04 11:07
回復 23# king_819
安全，基本不考慮！隨便找?guī)讉�站點，都可以看到跨站腳本攻擊的問題！現(xiàn)在互聯(lián)網(wǎng)流行： ...

     通過此次爆庫事件希望能引起各互聯(lián)網(wǎng)企業(yè)對網(wǎng)絡安全的重視，特別是應用開發(fā)的程序員應該有安全的概念，現(xiàn)今很多攻擊都是源于應用層，在這個互聯(lián)網(wǎng)越來越普及的年代，一但一個大的網(wǎng)站被爆庫，應引起的連鎖反應是恐怖的，黑客利用“社會工程學”通過常用用戶名、密碼、郵箱、電話、找回密碼答案等等信息來進行刷庫，獲取更多有價值的信息

yanyangtian4502

我認為，這次暴庫也是對技術(shù)人員的重新考驗！
就我所參與的一些項目，發(fā)現(xiàn) 安全等問題 往往都是最后考慮的！都說業(yè)務第一，而在安全方面，僅僅只是做了權(quán)限控制，甚至認為：權(quán)限=安全！
這次暴庫，說的調(diào)侃一點，那就是：不僅僅只是偶然，也是發(fā)展的必然！

呵呵！

回復 25# king_819


   

sohusina

我注意到這次失竊的幾個大網(wǎng)站似乎使用的都是微軟的語言…

yanyangtian4502

其實這個問題不是微軟平臺的問題，確實與開發(fā)者本身有一定的關系！
就好比給我們一把很厲害的火槍，但是我們的槍法依然不準，這就不能怪槍不好了！
是吧，呵呵呵


不過微軟技術(shù)也是確實有點不好：入門的門檻很低，很多人只要稍加學習，基本就可以上手了！入門容易，學精有點難！因為封裝的太多了！
技術(shù)人員無法看到底層！很多問題 只能在表面解決。

回復 27# sohusina


   

renxiao2003

賣書來了。哈哈。

yanyangtian4502

大家發(fā)言不多啊，都喜歡看我說？！