自定义任意进制转换,平台架构之安全,商品ID,用户id--SAAS本地化及未来之窗行业应用跨平台架构
一、常见和算法
| 序号 | 方法 | 说明 |
| 1 | 自增数 | 就是按照顺序从1~很大得int,缺点,可以列举服务和猜到下一个id |
| 2 | uuid | 随机生成,太长,不好查询,在数据足够大,多系统中合并数据可能重复,主要没有办法传输参数生成指定 |
| 3 | md5算法 | 123456加密后:e10adc3949ba59abbe56e057f20f883e 容易被破解,和模拟 |
| 4 | base64 | 123456加密后:MTIzNDU2 容易被破解,和模拟 |
| 5 | rsa | “我最喜欢北京得妞”加密后EF8D237E11A4FB1B46C89C3EBEC5AC359B68AF7A2BC216A3 |
| 6 | 16进制 | 32转换FF,可以直接反解压 |
| 7 | hash | 安全 |
| 8 | C2C | |
| 9 | 自定义算法 |
二、不安全得ID在平台缺点
社工角度:
1. 社会工程学攻击:黑客可以通过收集用户的公开信息,如社交媒体资料、常见的数字偏好等,来推测数字 ID,从而获取访问权限。
2. 钓鱼攻击:利用容易猜测的数字 ID 构造逼真的钓鱼链接或邮件,诱使用户提供敏感信息。
算法角度:
1. 弱加密算法:如果用于生成或保护数字 ID 的加密算法不够强大,容易被破解。
2. 哈希碰撞:如果数字 ID 是通过哈希函数生成,可能存在哈希碰撞,导致不同的输入产生相同的数字 ID,引发混淆和安全问题。
3. 可预测性:算法存在规律或模式,使得数字 ID 具有一定的可预测性。
技术角度:
1. SQL 注入漏洞:如果数字 ID 在数据库查询中处理不当,可能导致 SQL 注入攻击,让攻击者获取或篡改与数字 ID 相关的数据。
2. 跨站脚本攻击(XSS):攻击者可能利用数字 ID 在网页中的处理漏洞,注入恶意脚本,窃取用户的数字 ID 或其他信息。
3. 权限提升:数字 ID 验证机制存在缺陷时,攻击者可能通过篡改数字 ID 来获取更高的权限。
DDoS 角度:
1. 分布式拒绝服务(DDoS)攻击:容易被猜中的数字 ID 可能使攻击者更容易针对特定用户或账户发起 DDoS 攻击,造成服务中断。
2. 大量无效请求:攻击者可以利用猜测的数字 ID 发送大量无效请求,占用服务器资源,影响正常用户的服务。
三、兵者诡也
3.1 循环加密法
类似:MD5 ,md5(md5("123456").123456);
3.2 自己编写算法
function 未来之窗_人工智能_算法_进制转换($数字,$进制){$digits = '0123456789abcdefghijklmnopqrstuvwxyz';$进制临时计算数字 = $数字;$进制计算结果 = '';while ($进制临时计算数字 > 0) {$进制计算结果 = $digits[$进制临时计算数字 % $进制]. $进制计算结果;$进制临时计算数字 = floor($进制临时计算数字 / $进制);}return $进制计算结果;} $转换32_16 = 未来之窗_人工智能_算法_进制转换(32,16);ECHO $转换32_16."<hr>";但是这样写显然不安全,很容易被别人猜到。
3.3 自己不会写算法
自己不会写算法可以使用人工智能,编写,找源码。
四、借前人之灵,纳古贤之仙,事半功倍
直接抄写别人源码,全网可以查询容易被别人反解。
因此我们要改算法,整体算法我们搞不了,我们一般需改算法因子
如
function 未来之窗_人工智能_算法_进制转换($数字,$进制){$digits = '0123456789abcdefghijklmnopqrstuvwxyz';$digits = 'g未来ijklmnopq0156723489abcdefrstuvwxyz';$进制临时计算数字 = $数字;$进制计算结果 = '';while ($进制临时计算数字 > 0) {$进制计算结果 = $digits[$进制临时计算数字 % $进制]. $进制计算结果;$进制临时计算数字 = floor($进制临时计算数字 / $进制);}return $进制计算结果;}$转换32_16 = 未来之窗_人工智能_算法_进制转换(32,16);
结果就是:!g ,只要不公布算法,别人就很难猜到
三、阿雪技术观
拥抱开源与共享,见证科技进步奇迹,畅享人类幸福时光!
让我们积极投身于技术共享的浪潮中,不仅仅是作为受益者,更要成为贡献者。无论是分享自己的代码、撰写技术博客,还是参与开源项目的维护和改进,每一个小小的举动都可能成为推动技术进步的巨大力量
扫码,可学习更多