WEB安全漏洞之关键信息明文传输漏洞

最新推荐文章于 2024-07-19 14:11:18 发布
最新推荐文章于 2024-07-19 14:11:18 发布
阅读量9.8k 收藏 12
点赞数 3
分类专栏: WEB安全漏洞
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/Agonie_25/article/details/90371494
版权

漏洞说明

关键信息明文传输也是一个十分常见的漏洞。在前后端进行交互时,尤其是登录操作,需要注意对密码等关键信息进行加密,因为信息在传输过程中,可能会有被截获的危险。下面就针对扫描工具,给出几种方案。

修复方案

  • 第一种 base64
    严格来说,base64其实算不上加密?毕竟base64只是一种常见的编码格式,但是对于安全性要求不太高的系统,也可以使用base64来避免漏洞扫描工具报出“关键信息明文传输”的漏洞。base64使用简单,直接贴代码如下:
		//前端进行加密编码
		var b = new Base64();
		var password_encode = b.encode(trim(password.value));
		document.getElementById("password").value=password_encode;

		//后端进行解密编码
		password = PasswordUtils.getFromBase64(password);

		//解码具体方法
		public static String getFromBase64(String str)
   	 	{
        	byte[] b = null;
        	String result = null;
        	if (str != null)
        	{
            	BASE64Decoder decoder = new BASE64Decoder();
            	try
           	 	{
                	b = decoder.decodeBuffer(str);
                	result = new String(b, "UTF-8");
            	}
            	catch (Exception e)
            	{
                	e.printStackTrace();
            	}
        	}
        	return result;
    	}

	//前端加密,秘钥长度需为16位,这里我使用当前系统时间+abc构成的16位字符串做秘钥,并将秘钥存入Session中
	<%
 		String key = Long.toString(new Date().getTime()) + "abc";
 		session.removeAttribute("AESKey");
 		session.setAttribute("AESKey", key);
 	%>
 	var password = document.getElementById("password").value;
 	var aeskey = CryptoJS.enc.Utf8.parse("<%= key%>");
    var srcs = CryptoJS.enc.Utf8.parse(password);  
    var encrypted = CryptoJS.AES.encrypt(srcs, aeskey, {mode:CryptoJS.mode.ECB,padding: CryptoJS.pad.Pkcs7});
    document.getElementById("password").value = encrypted.toString();

//后端解密
	password = PasswordUtils.decryptAES(request, password);

/**
     * AES解密
     * @param req 用户请求,用于获取session中的aeskey
     * @param data 需要解密的数据
     * @return 返回解密的数据
     * @throws Exception
     */
    public static String decryptAES(HttpServletRequest req, String data) throws Exception {
        try {
        	HttpSession session = req.getSession();
        	String key = StringUtil.ob2string(session.getAttribute("AESKey"));
        	
            byte[] encrypted1 = new BASE64Decoder().decodeBuffer(data);

            Cipher cipher = Cipher.getInstance("AES/ECB/PKCS5Padding");
            SecretKeySpec keyspec = new SecretKeySpec(key.getBytes(), "AES");

            cipher.init(Cipher.DECRYPT_MODE, keyspec);

            byte[] original = cipher.doFinal(encrypted1);
            String originalString = new String(original);
            return originalString;
        } catch (Exception e) {
            e.printStackTrace();
            return null;
        }
    }

另外补一个注意事项,对于AES三中数据填充方式:

  • PKCS7Padding
    Java不支持此方式
    PKCS7Padding是缺几个字节就补几个字节的0

  • PKCS5Padding
    JS不支持此方式
    PKCS5Padding是缺几个字节就补充几个字节的几,例如缺8个字节,就补充8个字节的8

  • NOPadding
    不补充字节

  • 第三种 Https

    有些时候,不仅仅是密码,很多其它的信息也会被漏洞扫描工具认为是“敏感信息”,在这种情况下一一对这些数据加密显然是不现实的,因此,最好的办法就是关闭http协议通信而采用https通信,保证信道的安全,从而保证关键信息的安全。

艾苟尼
关注
  • 3
    点赞
  • 12
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
web安全漏洞加固手册
06-22
本文档是关于 Web 安全漏洞加固手册的详细指南,旨在帮助开发者和安全专家了解和解决常见的 Web 安全漏洞。该手册涵盖了认证和授权类、命令执行类、文件上传类等多种类型漏洞,提供了详细的检测和修复方案。 认证...
网站中常见的安全漏洞和修改建议
laishaohe的博客
02-24 1305
随着互联网的发展,网络安全问题越来越受到大家重视,一个企业的网站如果出现安全问题,对企业的品牌形象和用户信任度影响非常大,那如何保障网站的安全问题呢?我们能做的就是在出现问题前做好预防,今天汕头网站建设小编来分享一些网站建设中常见的安全漏洞。 1、明文传输问题描述:对系统用户口令保护不足,攻击者可以利用攻击工具,从网络上窃取合法的用户口令数据。修改建议:传输的密码必须加密。注意:所有密码要加密。要...
常见漏洞类型
天天water的专栏
09-30 8638
常见SRC漏洞类型 1. WEB漏洞 1.1. 反射型XSS 1.2. 存储型XSS 1.3. 命令注入 1.4. SQL注入 1.5. 上传漏洞 1.6. 信息泄露 1.7. CSRF 1.8. 文件包含 1.9. 逻辑漏洞 1.10. 权限绕过 1.11. URL跳转 1.12. XXE注入 1.13. 文件读取 1.14. JSON劫持 1.15. 命令执行 1.16. 登陆爆破\认证缺陷 1....
解决系统明文传输的问题(亲测有效)
最新发布
tlovet_1314的博客
07-19 701
解决明文传输问题
明文传输漏洞
LuckySec
11-01 2568
由于网站在用户提交的敏感数据到服务器的过程中未进行相关加密处理,导致攻击者可以通过中间人攻击(劫持、嗅探)等方式获取到这些未加密的敏感数据。当攻击者获取到这些数据之后,可能利用这些信息以合法用户的身份登录系统,一旦进入到应用系统中那么就可以获取更多的敏感数据,以及有机会发现更多的漏洞
网站建设中出现的安全漏洞有哪些
broing55的博客
03-06 464
1、明文传输 问题描述:对系统用户口令保护不足,攻击者可以利用攻击工具,从网络上窃取合法的用户口令数据。 修改建议:传输的密码必须加密。 注意:所有密码要加密。要复杂加密。不要用base64或md5。 2、sql注入 问题描述:攻击者利用sql注入漏洞,可以获取数据库中的多种信息,如:管理后台的密码,从而脱取数据库中的内容(脱库)。 修改建议:对输入参数进行过滤、校验。采用黑白名单方式...
常见36种web渗透测试漏洞描述及解决方法
weixin_44600998的博客
03-15 3184
36种web渗透测试漏洞描述及解决方法
Web漏洞检测及修复方案.doc
05-17
认证和授权类漏洞Web 应用程序中最常见的漏洞之一,包括密码明文传输、用户名可枚举、暴力攻击、会话标识未更新、未授权访问、文件上传漏洞、任意文件下载等。这些漏洞可能会导致未经授权的访问、数据泄露、身份...
Web应用安全漏洞分析
12-01
漏洞分为SQL注入、跨站脚本、信息泄露、软件版本安全性、明文传输、用户枚举、任意文件下载上传、配置过低、弱口令等多种类型。对于这些漏洞,安全测试人员需要进行精确的定位和分析,制定相应的修复方案。 在安全...
常见web应用漏洞和检测方案
06-06
明文信息传输漏洞 敏感信息泄露 默认或可猜解用户账户 会话重放攻击测试 验证码缺陷 http方法测试 不安全的cookie传输 CSRF漏洞测试 会话设计缺陷 会话定置测试 会话复杂度测试 会话预测缺陷 会话注销测试 目录枚举...
WEB开发安全漏洞修复方案 (2).pdf
07-14
- 已解密的登录请求:明文传输用户登录信息,容易被中间人攻击截取。 - 通过框架钓鱼:利用框架或页面嵌套进行钓鱼攻击,欺骗用户输入敏感信息。 - 链接注入(便于跨站请求伪造,CSRF):攻击者构造恶意链接,诱导...
敏感信息明文传输相关问题小结
热门推荐
18年3月萌新白帽子
12-24 1万+
最近在工作中,由于同事对敏感信息明文传输这个漏洞认识不深,导致工作出了一些问题。经过一番研究后,发现了其中的一些小知识点,在这里跟大家分享下,具体情况是这样的: 1.我们在做安全测试的时候,经常可以通过Burpsuit抓包看到一些以明文方式呈现的敏感信息,比如在页面登陆处,我们输入账号密码,通过Burpsuit抓包,可以看到如下类似的数据包。   可以看到在数据包中,用户登陆用的账号和密...
密码明文传输漏洞原理以及修复方法
it知识分享 free for nothing..
12-19 2744
密码明文传输漏洞 原理以及修复方法
常见的安全问题和修复建议
blogbywind的博客
03-13 1442
主要整理一些工作碰到的系统安全漏洞问题和修复方式
web漏洞-用户凭据明文传输
qq_35578446的博客
06-13 3659
当攻击者获取到这些数据之后,就可以用这些信息以合法用户的身份进入到应用系统中——甚至可能进入到应用系统后台中,一旦进入到应用系统中那么就可以获取更多的敏感数据,以及更有机会发现更多的漏洞。...
敏感信息明文传输
国内一线红队,擅长攻防渗透,APT
03-21 9418
网站使用了https,所以不存在嗅探的风险。但是登录框不存在验证码,且表单提交的数据未进行加密处理,导致存在暴力破解的风险。所以也存在密码明文传输问题。系统认证过程中用户名、密码等敏感数据未进行加密传输。网站使用不安全的 HTTP 方式传输网络数据。关于明文传输涉及两个问题。
2020 Web安全漏洞全攻略:检测、修复与实例解析
Web安全漏洞指导手册》是一份详尽的2020年12月发布的文档,旨在帮助读者理解和应对各种常见的Web安全问题。该手册涵盖了多个类别,包括认证和授权、命令执行、逻辑攻击、注入攻击、客户端攻击以及信息泄漏等方面,...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值