텍스트 상자의 사용자 이름/암호를 사용하는 로그인 JSP가 있으며 제출시 POST 메서드를 사용하여 로그인 서블릿에 사용자 이름/암호 매개 변수를 전달합니다.JSP에서 서블릿으로 HTTP 게시 매개 변수 암호화하기
이제 매개체를 트랩하기 위해 중간자 공격 (man-in-the-middle attack) 사이에 Paros Proxy를 사용하고 있습니다. JSP에서받은 매개 변수는 Paros에서 일반 텍스트로 캡처됩니다. 매개 변수를 파로스 프록시에 의해 캡처 된 경우에도
가, 그것은을 할 수 없습니다 :
우리가하는 방식으로 이러한 매개 변수를 암호화하는 데 사용할 수있는 자바 표준 API가 제공하는 특정 방법이있다 일반 텍스트로 표시하십시오.서블릿에서 해독 할 필요가 없습니다.
어떻게하면됩니까?
SSL을 사용하여 데이터를 스니핑되지 않도록 보호합니다. 서버 측에서 디코딩 (아마도 의 암호 해독 의미)을 수행해야한다고 생각하면 다른 방법은 생각할 수 없습니다.
응답 해 주셔서 감사합니다. 이 링크를 사용하여 내 바람둥이와 함께 SSL을 사용해 보았지만 인증서 오류가 표시되었습니다 (CA의 인증서가 bcoz가 아닐 수도 있음). 하지만 여전히 인증서 오류가있는 HTTPS에서 실행됩니다.하지만 놀랍게도 Paros는 일반 텍스트로 이러한 매개 변수를 조사 할 수 있습니다. SSL을 사용할 수 없음 :-( –
SSL 처리에 Apache HTTPD를 사용해 보시지 않겠습니까? 서블릿 컨테이너 Tomcat과 같이 매우 쉽습니다. 각 구성 측면에 대한 많은 설명서가 있습니다. –
SSL은 귀하의 질문에 대한 답변입니다. 구체적인 인증서 문제를 해결하는 데 집중해야합니다. 그 단계에 대해 새로운 질문을하십시오. on serverfault). – BalusC
확실히 "인코딩"하고 싶지는 않습니다. 당신은 완전히 암호화 된 "암호화"를 원합니다. 인코딩 된 정보는 보안 키 (예 : URL 인코딩, 문자 인코딩, HTML 인코딩 등) 없이도 디코딩 할 수 있습니다. 암호화 된 정보는 보안 키 없이는 해독 할 수 없습니다. 귀하의 질문에 잘못된 용어를 수정했습니다. – BalusC
@BalusC 대담함을 제거 해줘서 고마워, 내 취향에 너무 지나치게 중점을 두었다. –