1
Ich habe ein Jmeter-Skript erstellt und versuche mich in der Anwendung anzumelden. Wenn ich versuche, das Skript auszuführen, bekomme ich invalid credentials in der Antwort.So verschlüsseln Sie den Passwort-Parameter auf dem Anmeldebildschirm in JMeter
Das Passwort ist in der Website verschlüsselt, die ich versuche zu laufen.
Das Passwort, das ich übergeben möchte, wurde nicht verschlüsselt, wenn es im Antwortfenster angezeigt wird.
Kann jemand vorschlagen, verschlüsselten Wert von Passwort in Jmeter zu nehmen?
Können Sie was Sie versuchen zu senden? wie der Wert verschlüsselt? Schicken Sie wirklich zum Serverwert verschlüsselt? – user7294900
Im Passing das eigentliche Passwort dh (Passwort @ 1), verschlüsselt die Anwendung es mit MD5-Algorithmus zusammen mit dem Startwert und sendet es an den Server. –
Beim Speichern eines Passwort-Verifizierers genügt es nicht, nur eine Hash-Funktion zu verwenden, und das Hinzufügen eines Salzes trägt wenig zur Verbesserung der Sicherheit bei. Stattdessen iterieren Sie über eine HMAC mit einer zufälligen Salz für etwa 100ms Dauer und speichern Sie das Salz mit dem Hash. Verwenden Sie eine Funktion wie PBKDF2, Rfc2898DeriveBytes, password_hash, Bcrypt, passlib.hash oder ähnliche Funktionen. Der Punkt ist, dass der Angreifer eine Menge Zeit damit verbringt, Passwörter mit roher Gewalt zu finden. – zaph