案例:
对一段数字进行加密,采取的策略是将数字隔开随机插入字符(非数字),如用户输入:12345
利用ISA加密,加入随机字符,生成一段字符:*************
后台接收到传过来的字符后,开始解密,去除随机插入的字符(非数字)
获得正确的字符;
解析:
表面看来,这个加密流程是没有任何问题的。
但是,当用户通过查看cookie中的数据后,实际上是可以获取加密后的字符串长度的。而一旦某个人知道了这个验证规则(去除非字符),那么他们可以直接从用户电脑中获取cookie,然后直接用过塞入cookie进入用户的账户,这种方式使得加密不在保险。
其实当时分析的时候还有一个问题的,但是我已经记不清了。希望大家能在下面的讨论中得到答案
原文地址:http://blog.csdn.net/u013754950/article/details/45339021
