是否有任何方法可以确保您想要注册的web应用程序正在对您的密码进行加密,而不是将其保存为纯文本(管理员可以读取密码,或者攻击者可以轻松获取密码)?
除非您能够读取处理密码的脚本的源代码,否则无法知道它在幕后发生了什么。
但是,可以在客户端找到一些关于安全的东西,只是为了了解这个web应用程序所遵循的安全级别。
- 检查网站是否使用有效的SSL证书。这已经告诉你一些关于某人进行网络嗅探的可行性
- 查看HTML源代码,并查看提交数据的表单是如何构建的。它是否使用
POST请求而不是GET - 使用虚假帐户注册并检查您的cookie。您是否看到任何类似于您的会话信息以纯文本或base64保存的内容?如果某个东西看起来像base64(字符串以
=或==结尾),请对其进行解码,看看字符串到底包含什么