我开发了我的应用程序来使用加盐的 SHA-512 密码哈希。
如果黑客要获取哈希,我可以做些什么来防止黑客使用 Greasemonkey 更改登录页面,从而使密码不被哈希?我预见的攻击向量将使他们能够将他们获得的哈希输入密码输入,然后 Greasemonkey-altered 页面按原样发送该信息(不对输入的密码进行哈希处理,即实际哈希)。
这只是如何使用获取的哈希的一个示例。还有其他方法可以使用 Greasemonkey 更改站点的代码以达到相同的结果。
我想不出任何方法来防止/保护这种类型的攻击。
这里有人想出点什么吗?
在服务器上散列您的密码。使用 SSL 保护线路。
这个问题是关于 Greasemonkey 拦截密码的漏洞,对吧?
在这种情况下,SSL无法防止用户凭据被盗,密码(或哈希,或其他)将直接从用户的浏览器获取并通过GM_xmlhttpRequest()传输给坏人。
如果您尝试对密码进行编码或散列,在客户端,Greasemonkey 可以拦截甚至替换负责的 JS。
请参阅“网站可以知道我是否正在运行用户脚本吗?” ,你可以让脚本编写者更难,但最终,如果坏人可以让用户安装 Greasemonkey 脚本(或更糟糕的是,一个完整的附加组件/扩展),那么你只能让它变得更难 - - 并非不可能 - 用户的帐户被盗用。
除非/除非您有证据表明正在使用恶意脚本或附加组件,否则我什至不会担心它。最终,用户有责任确保其浏览器和客户端交互的安全。
您可以做的事情使脚本编写者更难(并非不可能):