系统明文密码加密传输

最新推荐文章于 2024-07-19 14:11:18 发布
最新推荐文章于 2024-07-19 14:11:18 发布
阅读量6.3k 收藏 8
点赞数 1
分类专栏: Spring应用实践

  最近项目PL提出系统数据越权和明文密码传输问题,涉及网络安全的问题,这让我一脸懵逼,查阅相关资料后做相关记录

1. 数据越权:

      涉及重要功能需要验证用户是否当前用户操作,修改密码功能接口参数用户Id人员被恶意篡改,应该应用系统token缓存用户信息做修改密码操作

2. 明文密码:

      

1. 加密解密

1.1 前端js加密概述

对系统安全性要求比较高,那么需要选择https协议来传输数据。当然很多情况下一般的web网站,如果安全要求不是很高的话,用http协议就可以了。在这种情况下,密码的明文传输显然是不合适的,因为如果请求在传输过程中被截了,就可以直接拿明文密码登录网站了。 
HTTPS(443)在HTTP(80)的基础上加入了SSL(Secure Sockets Layer 安全套接层)协议,SSL依靠证书来验证服务器的身份,并为浏览器和服务器之间的通信加密。传输前用公钥加密,服务器端用私钥解密。

对于使用http协议的web前端的加密,只能防君子不能防小人。前端是完全暴露的,包括你的加密算法。 
知道了加密算法,密码都是可以破解的,只是时间问题。请看知乎上的一篇文章:对抗拖库

所以加密是为了增加破解的时间成本,如果破解需要花费的时间让人难以接受,这也就达到了目的。

而为了保证数据库中存储的密码更安全,则需要在后端用多种单向(非对称)加密手段混合进行加密存储。

前端加密后端又需要解密,所以需要对称加密算法,即前端使用 encrypted = encrypt(password+key),后端使用 password = decrypt(encrypted +key) ,前端只传输密码与key加密后的字符串encrypted ,这样即使请求被拦截了,也知道了加密算法,但是由于缺少key所以很难破解出明文密码。所以这个key很关键。而这个key是由后端控制生成与销毁的,用完即失效,所以即使可以模拟用加密后的密码来发请求模拟登录,但是key已经失效了,后端还是验证不过的。

注意,如果本地环境本就是不安全的,key被知道了,那就瞬间就可以用解密算法破解出密码了。这里只是假设传输的过程中被截获的情形。所以前端加密是防不了小人的。如果真要防,可以将加密算法的js文件进行压缩加密,不断更新的手段来使js文件难以获取,让黑客难以获取加密算法。变态的google就是这么干的,自己实现一个js虚拟机,通过不断更新加密混淆js文件让加密算法难以获取。这样黑客不知道加密算法就无法破解了。

常用的对称加密算法有DES、3DES(TripleDES)、AES、RC2、RC4、RC5和Blowfis。可以参考:常用加密算法的Java实现总结

这里采用js端与java端互通的AES加密算法。

1.2 前后端加密解密

1.2.1 引用的js加密库

Cryptojs下载

<script src="${request.contextPath}/resources/plugins/cryptojs.js"></script>
1.2.2 js加密解密
var data = "888888";
var srcs  = CryptoJS.enc.Utf8.parse(data);
var key  = CryptoJS.enc.Utf8.parse('o7H8uIM2O5qv65l2');//Latin1 w8m31+Yy/Nw6thPsMpO5fg== function Encrypt(word){ var srcs = CryptoJS.enc.Utf8.parse(word); var encrypted = CryptoJS.AES.encrypt(srcs, key, {mode:CryptoJS.mode.ECB,padding: CryptoJS.pad.Pkcs7}); return encrypted.toString(); } function Decrypt(word){ var decrypt = CryptoJS.AES.decrypt(word, key, {mode:CryptoJS.mode.ECB,padding: CryptoJS.pad.Pkcs7}); return CryptoJS.enc.Utf8.stringify(decrypt).toString(); }

这里key是页面加载的时候由服务器端生成的,用隐藏域保存。

1.2.3 Java端加密解密(PKCS5Padding与js的Pkcs7一致)
package com.jykj.demo.util;

import javax.crypto.Cipher;
import javax.crypto.KeyGenerator;
import javax.crypto.spec.SecretKeySpec;

import org.apache.commons.codec.binary.Base64; import sun.misc.BASE64Decoder; public class EncryptUtil { private static final String KEY = "abcdefgabcdefg12"; private static final String ALGORITHMSTR = "AES/ECB/PKCS5Padding"; public static String base64Encode(byte[] bytes){ return Base64.encodeBase64String(bytes); } public static byte[] base64Decode(String base64Code) throws Exception{ return new BASE64Decoder().decodeBuffer(base64Code); } public static byte[] aesEncryptToBytes(String content, String encryptKey) throws Exception { KeyGenerator kgen = KeyGenerator.getInstance("AES"); kgen.init(128); Cipher cipher = Cipher.getInstance(ALGORITHMSTR); cipher.init(Cipher.ENCRYPT_MODE, new SecretKeySpec(encryptKey.getBytes(), "AES")); return cipher.doFinal(content.getBytes("utf-8")); } public static String aesEncrypt(String content, String encryptKey) throws Exception { return base64Encode(aesEncryptToBytes(content, encryptKey)); } public static String aesDecryptByBytes(byte[] encryptBytes, String decryptKey) throws Exception { KeyGenerator kgen = KeyGenerator.getInstance("AES"); kgen.init(128); Cipher cipher = Cipher.getInstance(ALGORITHMSTR); cipher.init(Cipher.DECRYPT_MODE, new SecretKeySpec(decryptKey.getBytes(), "AES")); byte[] decryptBytes = cipher.doFinal(encryptBytes); return new String(decryptBytes); } public static String aesDecrypt(String encryptStr, String decryptKey) throws Exception { return aesDecryptByBytes(base64Decode(encryptStr), decryptKey); } /** * 测试 * */ public static void main(String[] args) throws Exception { String content = "Test String么么哒"; //0gqIDaFNAAmwvv3tKsFOFf9P9m/6MWlmtB8SspgxqpWKYnELb/lXkyXm7P4sMf3e System.out.println("加密前:" + content); System.out.println("加密密钥和解密密钥:" + KEY); String encrypt = aesEncrypt(content, KEY); System.out.println(encrypt.length()+":加密后:" + encrypt); String decrypt = aesDecrypt(encrypt, KEY); System.out.println("解密后:" + decrypt); } }


云栖路
关注
专栏目录
明文密码
andylanzhiyong的博客
10-20 1666
一个登陆界面如下: 头文件: #ifndef MAINWINDOW_H #define MAINWINDOW_H #include #include namespace Ui { class MainWindow; } class MainWindow : public QMainWindow { Q_OBJECT public: explicit
java web登入的时候加密传输_前端登录密码加密传输
weixin_39839410的博客
02-27 2073
在HTTPS还没有普及的时候,前端采用HTTP协议,登录用户名和密码在不做任何控制的情况下是明文传输的,大量的网站都需要登录,大量的人使用同样的用户名和密码。目的:防止登录密码名文传输(仅仅只是防止明文传输,加密效果取决于key,而key对于前台是透明的)方式:前端页面用js加密前端登录密码,采用AES对称加密一、前端JS加密库crypto-js因为懒,所以直接引入整个加密库,可以根据所需要的加密...
传输密码加密:rsa实现js前台加密java后台解密
01-21
源码的应用场景: 项目,要求保护用户的密码信息,不允许在http传递明文密码信息 实现: 用RSA非对称加密方式实现。后台生成rsa密钥对,然后在登陆页面设置rsa公钥,提交时用公钥加密密码,生成的密文传到后台,用私钥解密,获取密码明文。 这样客户端只需要知道rsa加密方式和公钥,前台不知道私钥是无法解密的,此解决方案还是相对比较安全的。 使用源码的注意事项: http://blog.csdn.net/wu_jia123/article/details/50553128
前端加密技术
weixin_34310369的博客
04-10 170
1. AES 加密(对称加密解密)     参考文章 :https://github.com/ricmoo/aes-js     其的index.js 就是 aes.js    aes有五种加密模式(CBC, CFB, CTR, ECB and OFB),推荐 CBC和CTR。     github有使用说明。 2. MD5 SHA-1 加密(仅加密)    参...
解决系统明文传输的问题(亲测有效)
最新发布
tlovet_1314的博客
07-19 1022
解决明文传输问题
Java测评漏洞修复明文传输,使用RSA加密用户登录信息账号与密码,前端公钥加密后端私钥解密做到密文传输(RSA生成公钥私钥加密解密)
qq_35320491的博客
07-12 182
最近项目进行漏洞修复,发现网上找一些可用的代码很少很费劲在这里为大家整理一下亲测可用希望可以帮到大家,无偿不谢完整版。
【前端知识】前端加密算法(base64、md5、sha1、escape/unescape、AES/DES)
Outman's blog
09-07 2044
它们的作用是将字符串的特殊字符转换为编码表示,以便在不同的上下文进行安全传输或存储,并且可以再次解码以恢复原始字符串。是最早广泛使用的对称加密算法之一。不可逆性:escape 和 unescape 是一种简单的编码解码方式,它们是一对一的关系,无法进行数据压缩或加密,也无法恢复被修改的编码结果。容易碰撞:由于MD5摘要的长度固定,而原始数据的长度可以是任意的,因此可能会出现不同的数据生成相同的摘要,即碰撞情况。更高的安全性:AES采用更长的密钥长度(128位、192位或256位),提供更高的安全性。
encrypt-js 前端 的加密解密
weixin_54397440的博客
10-19 1935
let data=encrypt(加密的内容)encrypt是 加密的方法。decrypt是解密的方法。跟后端人员约定好偏移量。
nacos1.1.4版本修改源码使用非对称加密算法RSA进行用户名和密码加密传输
04-04
内容概要:nacos1.1.4版本修改源码使用非对称加密算法RSA进行用户名和密码加密传输。 适用人群:需要适用nacos作为项目注册心的相关人员、内网用户。 适用场景:linux或者windows系统,使用nacos作为注册心,...
C# 用RSA加密实现Web登录密码加密传输(网页口令传输加密)
06-11
八成网站登录口令“裸身待缚” 电商类全军覆没,在用户口令传输过程,仍然存在很多隐患。一般而言,用户在登录网站...而《报告》显示,大部分样本网站在传输口令时,没有做加密处理,直接将明文密码向服务端传输
若依前后端分离登录密码 加密传输
01-24
"若依前后端分离登录密码加密传输"是针对这种模式下如何安全处理用户登录密码的重要实践。在这个场景,我们将关注Vue.js作为前端框架,Spring Boot作为后端框架,以及如何在两者之间安全地进行加密传输。 首先,...
OAuth2 实现password与secret加密传输,解决明文传输问题
uchiha1st的博客
06-05 904
解决oauth2获取Token过程password与client_secret明文传输的问题
前端加密方式
诸葛韩信--一个前往前端不归路的浪子
07-17 216
背景 相比其他被编译成二进制的应用,前端这种纯文本应用,太容易被解读和窜改。 前端为什么要加密? 加密重要的目的是出于对商业利益的保护。 由于作品太容易被复制窜改,容易会失去渠道先机 窜改不限于以下: 署名被移除或替换; 链接地址被替换; 文案被修改; 广告被移除、替换或植入; ... 一些轻度游戏,用户只会玩一两次,生命周期也就两三天。如果你开发的游戏被人山寨且他的渠道比...
JS前端加密算法
super2007的专栏
04-30 7119
解密操作对服务器性能颇有消耗。寻思着能不能在前端完成。于是找到了crypto-js。 crypto-js支持各类主流算法。弄个简单点的DES加密。 function decryptByDES(ciphertext, key) { var keyHex = CryptoJS.enc.Utf8.parse(key); var decrypted = CryptoJS
web漏洞-用户凭据明文传输
qq_35578446的博客
06-13 3712
当攻击者获取到这些数据之后,就可以用这些信息以合法用户的身份进入到应用系统——甚至可能进入到应用系统后台,一旦进入到应用系统那么就可以获取更多的敏感数据,以及更有机会发现更多的漏洞。...
前端数据加密的方法
热门推荐
w418856的博客
05-31 1万+
在这个页面,当用户点击“base64加密”按钮时,会调用一个JavaScript函数fn1(),该函数使用了window.btoa()方法进行Base64加密操作,并使用window.atob()方法进行解密操作。在这个页面,当用户点击“编码解码加密”按钮时,会调用一个JavaScript函数fn4(),该函数使用了escape()和unescape()方法进行编码和解码操作。window.atob()方法接受一个Base64编码的字符串作为参数,返回该编码的原始字符串。
前端常用加密算法
codezha的博客
12-03 1797
MD5加密(无解密方法,解密不可逆) 适用场景: 用户注册完成后,将加密后的密码发送给后端,后端将加密后的密码存储在数据库,当用户登录时,前端依然发送加密后的密码,后台对比数据库存储的密码和前端发送的密码。 安装依赖: npm install crypto --save 使用方法: import crypto from 'crypto' //引入依赖 //使用示例 let passw...
前端加密方式总结
Boboy
08-08 6358
一、前端MD5加密------js-md5 1.概述 是通过前台js加密的方式对密码等私密信息进行加密的工具 2.js加密的好处 (1)用js对私密信息加密可避免在网络传输明文信息,被人截取数据包而造成数据泄露。 (2)避免缓存自动缓存密码。比如在使用谷歌浏览器登陆时,输入的用户名和密码会自动缓存,下次登陆时无需输入密码就可以实现登陆,这样就给别人留下漏洞,当别人用你电脑登陆或把input的t...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值