前端加密

最新推荐文章于 2024-05-28 10:35:40 发布
最新推荐文章于 2024-05-28 10:35:40 发布
阅读量2.3k 收藏 1
点赞数
分类专栏: 安全
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/qq_43422918/article/details/114926663
版权

 

1.1 前端js加密概述

对系统安全性要求比较高,那么需要选择https协议来传输数据。当然很多情况下一般的web网站,如果安全要求不是很高的话,用http协议就可以了。在这种情况下,密码的明文传输显然是不合适的,因为如果请求在传输过程中被截了,就可以直接拿明文密码登录网站了。 
HTTPS(443)在HTTP(80)的基础上加入了SSL(Secure Sockets Layer 安全套接层)协议,SSL依靠证书来验证服务器的身份,并为浏览器和服务器之间的通信加密。传输前用公钥加密,服务器端用私钥解密。

对于使用http协议的web前端的加密,只能防君子不能防小人。前端是完全暴露的,包括你的加密算法。 
知道了加密算法,密码都是可以破解的,只是时间问题。请看知乎上的一篇文章:对抗拖库

所以加密是为了增加破解的时间成本,如果破解需要花费的时间让人难以接受,这也就达到了目的

而为了保证数据库中存储的密码更安全,则需要在后端用多种单向(非对称)加密手段混合进行加密存储。

前端加密后端又需要解密,所以需要对称加密算法,即前端使用 encrypted = encrypt(password+key),后端使用 password = decrypt(encrypted +key) ,前端只传输密码与key加密后的字符串encrypted ,这样即使请求被拦截了,也知道了加密算法,但是由于缺少key所以很难破解出明文密码。所以这个key很关键。而这个key是由后端控制生成与销毁的,用完即失效,所以即使可以模拟用加密后的密码来发请求模拟登录,但是key已经失效了,后端还是验证不过的。

注意,如果本地环境本就是不安全的,key被知道了,那就瞬间就可以用解密算法破解出密码了。这里只是假设传输的过程中被截获的情形。所以前端加密是防不了小人的如果真要防,可以将加密算法的js文件进行压缩加密,不断更新的手段来使js文件难以获取,让黑客难以获取加密算法。变态的google就是这么干的,自己实现一个js虚拟机,通过不断更新加密混淆js文件让加密算法难以获取。这样黑客不知道加密算法就无法破解了。

这里key是页面加载的时候由服务器端生成的,用隐藏域保存。

1.2.3 Java端加密解密(PKCS5Padding与js的Pkcs7一致)

package com.jykj.demo.util;

import javax.crypto.Cipher;
import javax.crypto.KeyGenerator;
import javax.crypto.spec.SecretKeySpec;

import org.apache.commons.codec.binary.Base64;

import sun.misc.BASE64Decoder;

public class EncryptUtil {
    private static final String KEY = "abcdefgabcdefg12";  
    private static final String ALGORITHMSTR = "AES/ECB/PKCS5Padding";  
    public static String base64Encode(byte[] bytes){  
        return Base64.encodeBase64String(bytes);  
    }  
    public static byte[] base64Decode(String base64Code) throws Exception{  
        return new BASE64Decoder().decodeBuffer(base64Code);  
    }  
    public static byte[] aesEncryptToBytes(String content, String encryptKey) throws Exception {  
        KeyGenerator kgen = KeyGenerator.getInstance("AES");  
        kgen.init(128);  
        Cipher cipher = Cipher.getInstance(ALGORITHMSTR);  
        cipher.init(Cipher.ENCRYPT_MODE, new SecretKeySpec(encryptKey.getBytes(), "AES"));  

        return cipher.doFinal(content.getBytes("utf-8"));  
    }  
    public static String aesEncrypt(String content, String encryptKey) throws Exception {  
        return base64Encode(aesEncryptToBytes(content, encryptKey));  
    }  
    public static String aesDecryptByBytes(byte[] encryptBytes, String decryptKey) throws Exception {  
        KeyGenerator kgen = KeyGenerator.getInstance("AES");  
        kgen.init(128);  

        Cipher cipher = Cipher.getInstance(ALGORITHMSTR);  
        cipher.init(Cipher.DECRYPT_MODE, new SecretKeySpec(decryptKey.getBytes(), "AES"));  
        byte[] decryptBytes = cipher.doFinal(encryptBytes);  

        return new String(decryptBytes);  
    }  
    public static String aesDecrypt(String encryptStr, String decryptKey) throws Exception {  
        return aesDecryptByBytes(base64Decode(encryptStr), decryptKey);  
    }  


    /**
     * 测试
     * 
     */
    public static void main(String[] args) throws Exception {

        String content = "Test String么么哒";  //0gqIDaFNAAmwvv3tKsFOFf9P9m/6MWlmtB8SspgxqpWKYnELb/lXkyXm7P4sMf3e
        System.out.println("加密前:" + content);  

        System.out.println("加密密钥和解密密钥:" + KEY);  

        String encrypt = aesEncrypt(content, KEY);  
        System.out.println(encrypt.length()+":加密后:" + encrypt);  

        String decrypt = aesDecrypt(encrypt, KEY);  
        System.out.println("解密后:" + decrypt);  
    }
}
HuiTest
关注
  • 0
    点赞
  • 1
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
web渗透--13--登录认证安全测试
武天旭的博客
09-12 9235
1、密码明文传输 1、漏洞描述 密码明文传输一般存在于web网站登录页面,用户名或者密码采用了明文传输,容易被嗅探软件截取 2、检测条件 确定一个或多个常用应用程序包含的可访问的管理界面。 3、检测方法 1、找到网站或者web系统登录页面或者敏感数据提交页面。 2、通过对网站登录页面的请求进行抓包,工具可用burp、wireshark、filder等等,分析其数据包中相关p...
aes 前端加密 后端c# 解密
12-22
在这个例子中,`encryptedBase64`是前端加密后的Base64字符串,`key`和`iv`分别是从前端接收到的密钥和初始向量。请注意,前后端必须使用相同的密钥和初始向量才能正确地加密和解密数据。 在实际应用中,密钥的管理...
传输密码加密:rsa实现js前台加密java后台解密
01-21
源码的应用场景: 项目中,要求保护用户的密码信息,不允许在http中传递明文的密码信息 实现: 用RSA非对称加密方式实现。后台生成rsa密钥对,然后在登陆页面设置rsa公钥,提交时用公钥加密密码,生成的密文传到后台,用私钥解密,获取密码明文。 这样客户端只需要知道rsa加密方式和公钥,前台不知道私钥是无法解密的,此解决方案还是相对比较安全的。 使用源码的注意事项: http://blog.csdn.net/wu_jia123/article/details/50553128
系统明文密码加密传输
格局决定一切,智恒方远
03-12 6351
  最近项目PL提出系统数据越权和明文密码传输问题,涉及网络安全的问题,这让我一脸懵逼,查阅相关资料后做相关记录1. 数据越权:      涉及重要功能需要验证用户是否当前用户操作,修改密码功能接口参数用户Id人员被恶意篡改,应该应用系统token缓存用户信息做修改密码操作2. 明文密码:      1. 加密解密1.1 前端js加密概述对系统安全性要求比较高,那么需要选择https协议来传输数据...
前端加密的方式汇总
最新发布
任磊
05-28 2815
随着信息和数据安全重要性的日益凸显,如何保证信息数据在传输的过程中的安全成为开发者重点关注的内容。前端加密通常是指在浏览器中对各种传输的数据进行各种加密操作。然而前端加密更多的是用来对传输的数据进行简单的混淆,为了确保数据在传输过程中不被轻易的篡改和读取。可供我们选择的加密方式有很多种,需要我们在开发过程中根据实际的场景选择适合自己的加密解决方案。那么,本文将结合应用场景来介绍一下前端开发中常用的加密方法。
Javaweb--如何让登陆页面的表单不默认显示账号和密码
山顶雨人
04-21 7192
楼主做Javaweb项目,制作登陆页面访问时总是出现用户名和密码被自动填写的情况;如何清除密码,禁止表单显示账户密码,列出问题的解决方案
667-数据明文传输的安全问题
LINZEYU666的博客
10-09 1211
数据安全 在集群聊天服务器项目上,是明文的交互,采用的是Json做序列化和反序列化,从登录,注册的基本的业务开始,和后端的服务的交互,全都是明文的交互,相当于在浏览器上去访问web后端是用的https协议,数据确实是非常的不安全,我们可以通过加密, ...
前端传输加密的意义和实现
程序员阿飘 的博客
03-07 2259
整体看下来,说无意义的,无非说是对于后端而言,前端直接发送明文密码,还是使用md5,decypt,sha等加密的密文密码,从数据层面来讲,都是『明文』,只要被劫持,就算是密文,也并不需要去破解,直接伪造请求,照样发送就好了。说有意义的呢,更多说的是保护用户隐私,不至于明文在网络上传输,可以防止同密码跨站使用,不在后台日志明文记录,增加破解难度,防君子不防小人等等,总的来说,它的意义不在于鉴权。5,以上即可以保证,每次发送的密码密文都是唯一的且只能使用一次,就算被劫持,拿到这个密码也无法再次登录。
jsencrypt参数前端加密c#解密
06-19
jsencrypt 参数前端加密 C# 解密 jsencrypt 是一个 JavaScript 库,用于在客户端对数据进行加密,而 C# 则是用于在服务器端对数据进行解密的语言。以下是关于 jsencrypt 参数前端加密 C# 解密的知识点: 1. 前端...
前端加密js
04-28
在这个场景中,"前端加密js" 提供了一种解决方案,通过在浏览器端使用JavaScript进行数据加密,然后再在服务器端使用C#进行解密,以此来避免密码和其他敏感信息以明文形式在网络上传输。这种方式被称为端到端加密,...
JS前端加密算法示例
10-20
主要介绍了JS前端加密算法,结合实例形式分析了crypto-js具体用法与注意事项,需要的朋友可以参考下
前端加密登录,后端解密,aes加密
01-15
本文将深入探讨前端加密登录机制,特别是对称加密技术的应用。 对称加密是一种常见的加密算法类型,其特点是加密和解密使用的是同一密钥。这种加密方式速度快,效率高,适合大量数据的加密处理。在前端加密登录的...
登录怎么实现的,密码加密了嘛?使用明文还是暗文,知道怎么加密嘛?
qq_57747969的博客
09-08 1076
登录怎么实现的,密码加密了嘛?使用明文还是暗文,知道怎么加密嘛?
前端使用jsencrypt,进行RSA加密解密(处理长文本)
paidaboluo的博客
07-18 5468
前端使用jsencrypt,进行RSA加密解密(处理长文本)和 处理加密返回false
前端数据加密的方法
w418856的博客
05-31 1万+
在这个页面中,当用户点击“base64加密”按钮时,会调用一个JavaScript函数fn1(),该函数使用了window.btoa()方法进行Base64加密操作,并使用window.atob()方法进行解密操作。在这个页面中,当用户点击“编码解码加密”按钮时,会调用一个JavaScript函数fn4(),该函数使用了escape()和unescape()方法进行编码和解码操作。window.atob()方法接受一个Base64编码的字符串作为参数,返回该编码的原始字符串。
前端加密,后端解密的过程及代码(密码明文传输解决,不是太保险。key在前端有显示)
weixin_44538241的博客
08-05 9778
解决明文传输,AES前端加密后端解密
浅谈“密码明文传输”
热门推荐
→_→
07-19 1万+
一:漏洞名称: 密码明文传输 描述: 明文传输一般存在于web网站登陆页面,用户名密码采取明文传输并未采取加密(注意:一些软件如BurpSuite带有可加密的暴力破解!)容易被嗅探软件截取(如果加密方式是常见的加密也可以解密的(比如:MD5,RSA等--另外base64只是一种编码方式并不算是加密!) 检测条件: 已知Web网站具有登录页面 检测方法: 找到网站或者web系统登录页面。 通过过对网站登录页面的请求进行抓包,工具可用burp、wireshark、filder、.
应急响应:明文信息传输和存储漏洞和防护建议
xianjie0318的博客
08-31 4925
漏洞描述: 1、页面中没有对传输的用户名和密码等敏感信息进行加密后传输。 2、用户密码后台存储是否加密。 产生原因: <1>密码等敏感信息没有经过加密,明文传输。 <2>session信息在URL中被直接明文传输 漏洞危害:明文传输的危害在于所有经过网关的流量都可以被黑客通过嗅探(ARP欺骗)的方式抓取到。 防护建议: <1>启用SSL机制 <2>对系统内所以涉及到密码等敏感数据传输地方做加密处理,从而在一定的程度上避免这些敏感的数据受到威胁。确保
前端加密和后端加密哪个安全
05-20
前端加密和后端加密各有优缺点,具体哪个更安全要根据具体情况来评估。 前端加密的优点是可以在客户端进行加密,保护用户的数据隐私,同时也可以减轻服务器的负担。缺点是前端加密算法容易被破解,因为加密算法和...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值