【BUG】url 参数 AES 加密和解密问题

最新推荐文章于 2024-07-25 18:04:33 发布
最新推荐文章于 2024-07-25 18:04:33 发布
阅读量67 收藏
点赞数
文章标签: bug
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/tuhooo/article/details/133062734
版权

原文地址: 【BUG】url 参数 AES 加密和解密问题

欢迎访问我的博客: http://blog.duhbb.com/

引言

bug 复盘, 让你少写 bug!

今天分析的是一个 url 参数加密解密的问题, 原因破坏了加密后的字符串导致解密失败.

参数的加密解密

情况描述

url 有个参数是地址, 比如 http://www.hello.com/, 请求这个 url 的时候试图把最后的正斜杠给 trim 掉.

现在有个安全问题需要将这个地址参数给加密, 而加密后的字符串尾部可能出现 /.

所以处理这个问题的时候一定要注意:

  • 加密之前可以 trim
  • 加密之后的字符串不能再 trim 了, 否则加密的结果不完整

同理

  • 解密之前的字符串是不能 trim 的
  • 解密之后的字符串可以 trim 的

为什么一直没有暴露出这个问题呢?

原因是, 加密的盐值是用了日期, 导致 / 的出现是个概率问题, 摸不准那天就触发了这个雷了.

问题原因

如上, 就是因为解密的时候没有判断是否启用了加密, 而先去 trim 然后在解密, 会导致如果加密字符串尾部有 /, 最后解密的加密字符串是不对的.

正斜杠 / 需要转义吗?

Chrome + SpringBoot 测试

?a=/sdfsdf/sdfsf&b=/ 这种组合的话在 Spring 中是可以获取到带 /ab 的值的.

%2F 或者 %2f 的话也可以获取 / 参数, emmmmm.

算了, 不编码了 / 也能凑合用, 所以是 chrome 帮助我们编码了吗?

wget + SpringBoot 测试

wget http://192.168.213.161:8088/xxx/main.htm?a=/adsf/asdfsf/asdfasdf/

也能收到正斜杠 /.

「已注销」
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
关于url加密设置
大道初修通九窍的博客
01-25 3357
最近项目中又一个功能是嵌套第三方地址,于是乎就弄了一个https域名,又加了一个ifram嵌套,但是问题出现了, url跳转的时候在url地址栏还是会出现第三方的url地址,即便是作为参数传递的,但是也是不允许的,那么问题来了,  如何给url加密看不出来是什么呢,下面encodeurl来了,  public static string Encode(string str, string
url 传递参数加密问题
07-08
url传递参数 加密,,,DEC 加密过程,
asp.net URL参数加密解密问题
dfcj1010的专栏
10-09 3164
<br />   最近我遇到一个关于asp.net URL参数加密解密问题,在加密时没问题,可是解密就有问题了,有些参数解密出来是空(并不是原来的数据)。下面是一个需要加密URL参数的地 址:http://www.website.aspx?username=marry&password=marry<br />   在index.aspx页添加的代码:<br />         private static byte[] key = { };<br />         private s
参数加密后,转base64去请求,但是对应的解密方法解密失败。
皮皮虾的博客
03-22 6664
参数加密后,转base64去请求,但是对应的解密方法解密失败。 如果加解密方法没错的话,看一下是否是加密串在传输过程中发生了变化。 我遇到的就是postman在get传输的时候加密串中的 ‘+’ 变成了空格,所以处理之前要替换一下。 PHP代码如下: //data是一个参数加密后的字符串) $params['data'] = trim($params['data']); $para...
java android aes加密解密_java – 使用AES的Android加密/解密
weixin_39914752的博客
02-23 126
在Android上如何使用AES加密解密图像和其他文件有一个很好的例子吗?解决方法:警告:此答案包含您不应使用的代码,因为它不安全(使用SHA1PRNG进行密钥派生并在ECB模式下使用AES)相反,在CBC或GCM模式下使用PBKDF2WithHmacSHA1进行密钥派生和AES(GCM提供隐私和完整性)您可以使用以下函数:private static byte[] encrypt(byte[]...
Vue和Springbooot项目 前后端AES加密解密
m0_48942229的博客
01-08 2514
Vue和Springbooot后端加密解密 前言:对于 前后端的数据加密传输这一块,查阅了许多的文档,也试了很久,最终完成。也分享给大家。基础是 会一点vue基础、java基础。 1 在vue中的项目中,需要添加的组件是 axios 和 crypto-js两个组件。 axisos 用于发送 请求,crypto-js 用于 对数据进行加密解密。 1.2. 在vue项目中创建 secret.js 内容如下 1.3 const CryptoJS = require('crypto-js'); //引
JAVA中AES对称加密解密
飞上云端看彩虹
12-19 344
package com.zcjy.os.common.util; import java.io.UnsupportedEncodingException; import java.security.InvalidKeyException; import java.security.NoSuchAlgorithmException; import java.security.SecureRand...
ASP微信公众号消息加密解密 asp AES CBC模式加密
09-09
ASP公众号消息加解密EncodingAESKey,在网上这方面的知识也很少,官网上也没有给出示例,花了一些...ASP的AES加密,采用的CBC模式,PACS7填充。调用.net framework的API接口加密 v2.0修复原来有些密钥存在的BUG问题
js前端aes加密解密所有的库文件
01-21
**JavaScript AES 加密解密库** 在Web开发中,数据安全是至关重要的,尤其是在涉及到用户敏感信息时。AES(Advanced Encryption Standard...案例代码对于初学者来说是很好的学习资源,可以帮助理解和应用AES加密解密
文本加密解密工具 ImmediateCrypt
05-15
"文本加密解密工具 ImmediateCrypt" 是一款专为文本安全设计的应用程序,它允许用户对敏感数据进行快速加密解密操作,确保信息安全无虞。该工具基于Java开发,因此具备跨平台特性,可以在多种操作系统上运行。标签...
c++实现文件的加密解密
10-15
7. **错误处理**:在实现文件加密解密时,必须考虑到可能出现的错误,如文件不存在、权限问题、内存不足等。CFile类提供了错误检查机制,如GetLastError()和Abort()方法,用于检测和处理这些问题。 8. **安全性和...
高版本AES-GCM模式加密的Shiro漏洞利用1
08-03
高版本AES-GCM模式加密的Shiro漏洞利用1 ...高版本AES-GCM模式加密的Shiro漏洞利用1是指高版本Shiro中出现的漏洞利用问题,原因是Shiro框架中加密算法的变化,导致之前的exp不能用于新版Shiro的加密解密调用。
uniapp刷新当前页面bug
qq_56352553的博客
07-22 552
使用 uni.reLaunch 或 uni.redirectTo虽然这两个API不是专门用来刷新页面的,但它们可以用来关闭当前页面并跳转到当前页面(或另一个页面),从而间接实现刷新的效果。不过,这种方法会重新加载整个页面,包括页面的生命周期函数(如onLoad、onShow等),并且会导致页面跳转动画,因此并不是最优的刷新方式。
软件缺陷(Bug)、禅道
m0_62798969的博客
07-22 1203
软件在使用过程中存在的任何问题(如:错误、异常等),都叫软件的缺陷,简称bug
bug bug bug
weixin_74075792的博客
07-24 411
it/s]C:\Users\86187\.conda\envs\yolov8\lib\site-packages\torchvision\io\image.py:13: UserWarning: Failed to load image Python extension: '[WinError 127] 找不到指定的程序。进程已结束,退出代码为 1。
BUG】已解决:Downgrade the protobuf package to 3.20.x or lower.
m0_73367097的博客
07-23 540
Downgrade the protobuf package to 3.20.x or lower.
BUG】已解决:ModuleNotFoundError: No module named‘ pip‘
m0_73367097的博客
07-21 803
ModuleNotFoundError: No module named‘ pip‘
BUG】已解决:SyntaxError:positional argument follows keyword argument
最新发布
m0_73367097的博客
07-25 188
SyntaxError:positional argument follows keyword argument
python进行aes加密 使用ecb加密模式并进行解密 然后输出加密结果和解密结果
03-25
Sure! Here's an example code snippet in Python for AES encryption using ECB mode: ```python from Crypto.Cipher import AES import base64 key = '0123456789abcdef' plaintext = 'This is a plaintext message.' padding = '{' pad = lambda s: s + (16 - len(s) % 16) * padding cipher = AES.new(key, AES.MODE_ECB) message = cipher.encrypt(pad(plaintext).encode()) # Output encrypted message print("Encrypted message: ", base64.b64encode(message)) # Now, let's decrypt the message cipher = AES.new(key, AES.MODE_ECB) decrypted_message = cipher.decrypt(message).decode('utf-8').rstrip(padding) # Output decrypted message print("Decrypted message: ", decrypted_message) ``` Please note that this is just an example, and you should always carefully consider your encryption requirements before using any encryption algorithm in production.
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值