简述web安全中加密解密算法

已于 2023-05-24 15:45:43 修改
阅读量1k 收藏 1
点赞数 1
文章标签: web安全 安全
于 2023-05-24 15:27:57 首次发布
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/w18842156489/article/details/130847652
版权

前言:在渗透测试中,常见的密码等敏感信息会采用加密处理,其中作为安全测试人员必须要了解常见的加密方式,才能为后续的安全测试做好准备,本篇文章讲解各种加密编码等知识的基本了解,便于后期的学习和发展。

常见加密编码等算法解析

MD5,SHA,ASC,进制,时间戳,URL,BASE64,Unescape,AES,DES 等

拿出来几个简单说一下是什么

1.比如MD5:最常见,最简单的一个加密方式。MD5信息摘要算法(英语:MD5 Message-Digest Algorithm),一种被广泛使用的密码散列函数,可以产生出一个128位(16字节)的散列值(hash value),用于确保信息传输完整一致。

时间戳:

2、时间戳

在线转换工具:时间戳(Unix timestamp)转换工具 - 在线工具

时间戳通常是用在用户的注册、登录、注销等情况

3、base64编码的特点

随着编码的文本增加而增加、由大小写和数字组成且字符结尾一般有两个等号,一般在代码中为了安全会使用base64进行编码

Base64编码是从二进制到字符的过程,可用于在HTTP环境下传递较长的标识信息。采用Base64编码具有不可读性,需要解码后才能阅读。

Base64由于以上优点被广泛应用于计算机的各个领域,然而由于输出内容中包括两个以上“符号类”字符(+, /, =),不同的应用场景又分别研制了Base64的各种“变种”。为统一和规范化Base64的输出,Base62x被视为无符号化的改进版本。

4、URL编码

详细了解可以点击链接

https://www.cnblogs.com/cxygg/p/9278542.html

序号

特殊字符

含义

十六进制值

1.

+

URL 中+号表示空格

%2B

2.

空格

URL中的空格可以用+号或者编码

%20

3.

/

分隔目录和子目录

%2F

4.

?

分隔实际的 URL 和参数

%3F

5.

%

指定特殊字符

%25

6.

#

表示书签

%23

7.

&

URL 中指定的参数间的分隔符

%26

8.

=

URL 中指定参数的值

%3D

5、unescape编码

和URL编码有点像

特点:一般是%U+四个数字对应着两个字符、主要运用于网站web应用

5、AES加密

aes加密后的信息和base64一样,因为其加密可以以base64输出,那么我们在解密base64解不出来是乱码的时候或者解密出来不知道是什么东西的时候就得想想了。

想要解密AES必须要有密码和偏移量,位数和格式,不然神仙也解不出来,那么这时候就看信息收集的能力了。最简单的自然是去网站开发公司的地方问问加密代码是什么在顺便看一眼密码和偏移量,位数和格式,然后自然就搞定了。哈哈哈,你要是真信了,那当我没说。

aes在逐渐的取代md5值、在解密的过程中一定要知道密码和偏移量不然是借不出来的。

在线工具:在线AES加密解密、AES在线加密解密、AES encryption and decryption--查错网

6.对于自定义的加密方式

有些公司不是直接进行某种加密而是采用了自定义加密的方式,那么我们必须知道加密的代码,才可能做到解密,说白了就是要有代码去分析。这时候就得看信息收集能力了。

举个例子:比如我们想对一个网站进行sql注入,也就是在url后边请求的时候带个1and 1=1之类的语句,不用了解为啥,因为我也不知道。反正sql注入就这个意思吧。但是有的url后边不是明文,是经过加密的,比如下便这个网址,后边应该就是加密的。那我们要想实现sql注入,那肯定不能像是给没加密过的url那样单纯的在后边加语句。https://www.baidu.com/s?ie=utf-8&f=8&rsv_bp=1&tn=68018901_2_oem_dg&wd=BASE64&oq=MD5&rsv_pq=d7d23900000e6b7d&rsv_t=fe821WXXuvVqQlRQio0EcitYLbng5FAqDkfBN4Gbri%2FWfwfG6iURpN6%2BJGoTZLqDLzD2aDt4WrI&rqlang=cn&rsv_enter=1&rsv_dl=tb&rsv_n=2&rsv_sug3=1&bs=MD5https://www.baidu.com/s?ie=utf-8&f=8&rsv_bp=1&tn=68018901_2_oem_dg&wd=BASE64&oq=MD5&rsv_pq=d7d23900000e6b7d&rsv_t=fe821WXXuvVqQlRQio0EcitYLbng5FAqDkfBN4Gbri%2FWfwfG6iURpN6%2BJGoTZLqDLzD2aDt4WrI&rqlang=cn&rsv_enter=1&rsv_dl=tb&rsv_n=2&rsv_sug3=1&bs=MD5

 必须要解密后边的加密后的信息,之后在给加上我们要的语句,最后在把加上我们语句的信息和原来的方式一样加密,再传回去才可以。那么想知道为啥的看下边:

因为他的信息是加密过的如果我们直接加语句那就是密文+明文,这个信息在我们这里发过去之后,对方服务端会进行解密,它不可能用加密的信息吧。那这个信息是密文的时候自然可以正确解开,但是变成密文+明文解密肯定出问题。所以需要先解密成明文,然后明文+我们要加上的明文语句,这样就是明文+明文,在进行加密,就变成了密文,发过去服务端在解密就是我们的明文+明文语句,欧克那就搞定了。

总结以下:

常见加密形式算法解析

直接加密,带 salt,带密码,带偏移,带位数,带模式,带干扰,自定义组合等

6.3 常见解密方式

枚举,自定义逆向算法,可逆向

6.4 了解常规加密算法的特性

长度位数,字符规律,代码分析,搜索获取等

爱敲代码的阿宁
关注
  • 1
    点赞
  • 1
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
五种常见的加密方式及常用的加解密工具
m0_69916115的博客
07-15 1万+
如果你是互联网公司的信息安全从业者,那么你可能会经常需要处理撞库事件,撞库是黑客的无聊“恶作剧”。黑客收集已经在互联网上泄露的用户和密码信息,生成对应的字典表,并尝试批量登录其他网站,然后得到一系列可以登录的用户。撞库的根本原因是一些公司发生了信息泄露事件,而且泄露的数据没有加密或者加密方式比较弱,这样黑客就可以还原出原来的用户密码。可见,密码加密并不是简单加密就行的,对于密码加密的重要性就不用过的赘述了,相信大家都了解。...
用RSA加密实现Web登录密码加密传输
anw53724的博客
03-05 1078
通常我们做一个Web应用程序的时候都需要登录,登录就要输入用户名和登录密码,并且,用户名和登录密码都是明文传输的,这样就有可能在途被别人拦截,尤其是在网吧等场合。 这里顺带一个小插曲,我以前有家公司,办公室装修时候安排的网口相对较少,不太够用,于是我和另外一个同事使用了一个hub来共享一个网口,这就导致了很有趣的现象:任何他的网络包我都能抓得到,当然了,我的他也能抓得到。这是不是有很...
RSA加密Web前端登录账户密码加密传输_前端加密和rsa ecb pkcs1padding
最新发布
m0_60667406的博客
04-18 240
前端向后台发送登录请求前,先向后台请求获取公钥,加密后再发起登录请求。需要提前引入 jsencrypt.min.js文件或npm安装就行。
DES加密算法(密文只有字符串和数字)java和android加密的结果一致(可放在url
blog_yue的专栏
01-28 627
参考别人的代码:https://www.cnblogs.com/qiantao/p/12979975.html 解决问题:androidStudio与BS采用DES加密后,BS加密结果固定,androidStudio加密值动态变动问题 解决思路: 将生成加密方法使用的KEY值固定 import java.security.*; import javax.crypto.Cipher; import javax.crypto.SecretKey; import javax.crypto.Secr..
5种用户密码加密方式,哪种最安全
a1405的专栏
01-19 2万+
作为互联网公司的信息安全从业人员经常要处理撞库扫号事件(撞库是黑客无聊的“恶作剧”,黑客通过收集互联网已泄露的用户+密码信息,生成对应的字典表,尝试批量登陆其他网站后,得到一系列可以登陆的用户),产生撞库扫号的根本原因是一些企业发生了信息泄露事件,且这些泄露数据未加密或者加密方式比较弱,导致黑客可以还原出原始的用户密码。 以京东之前的撞库举例,首先京东的数据库并没有泄漏。黑客只不过通过“撞库”的手法,“凑巧”获取到了一些京东用户的数据(用户名密码),而这样的手法,几乎可以对付任何网站登录系统,用户在不同网
【计算机网络】常见加密方式
Free_Ya的博客
04-17 7919
写在前面 这周了解了https是如何实现安全传输的,其涉及到了s加密的技术。所以,博主去又去学习了常见的加密方式,故写下这篇博客 一、 对称加密 1.介绍 这个比较好理解,也就是说加密和解密使用的是同一把钥匙。 就好比自己家的钥匙一样,开门和锁门都用同一把钥匙。 给大家看个例子: 这里钥匙是string,当我点击加密后,会出现相应的密文。 下面清空明文 然后点击解密 可以看到明文又被解析回来。这个过程,我们加密和解密都使用的同一个密钥String.这就是对加密。 PS: 最早的对称加密应该是凯撒加
网站账号密码加密方式
深度学习 || 神经网络
02-06 5906
网站账号密码加密方式,参考UP主”林粒粒呀“的视频。
web系统常见的密码加密方式
02-04 1万+
1 用户密码加密的必要性 web系统通常都会有登录的功能,登录功能的逻辑是这样的:一个用户拥有一个用户名为zhangsan,密码为123456的账号,在登录时,前端去调用后端的登录接口,并传入zhangsan与123456作为参数;在后端代码内容运行时,会根据zhangsan这一用户名去查询数据库的用户表,查询出的内容会包含密码,将这一个密码与用户所输入的密码做一个比对,如果相...
前端加密,后端解密的过程及代码(密码明文传输解决,不是太保险。key在前端有显示)
weixin_44538241的博客
08-05 9547
解决明文传输,AES前端加密后端解密
常用的加密方式有哪些
z020315的博客
03-16 1913
由于单向HASH算法在保护密码方面不再安全,于是有些公司在单向HASH算法基础上进行了加盐、多次HASH等扩展,这些方式可以在一定程度上增加破解难度,对于加了“固定盐”的HASH算法,需要保护“盐”不能泄露,这就会遇到“保护对称密钥”一样的问题,一旦“盐”泄露,根据“盐”重新建立彩虹表可以进行破解,对于多次HASH,也只是增加了破解的时间,并没有本质上的提升。早期很多这样的做法,比如用户设置的密码是“123”,直接就将“123”保存到数据库,这种是最简单的保存方式,也是最不安全的方式。
古典多表密码加密解密算法
01-22
这是本人密码学的课程设计,其内容是Beaufort古典多表密码加密解密。 源程序需要plainText.txt文件,请自行将要加密的数据贴到该文件,作为明文,然后将该文件与源程序文件放在同一目录下。明文尽量长一些(1000...
AES加密解密详细演示AES加密解密过程
10-12
详细演示AES加密解密过程.AES是分组密钥,算法输入128位数据,密钥长度也是128位。用Nr表示对一个数据分组加密的轮数(加密轮数与密钥长度的关系如表1所列)。每一轮都需要一个与输入分组具有相同长度的扩展密钥...
c# 加密和解密相关代码
09-06
图19.3 使用ROT13算法加密解密数据 关 键技术 本实例实现时,主要是用Convert 类的ToChar 方法来获取单个字符的Unicode 编码,然后将字母的前13 个和后13 个对调,从而实现加密的功能。下面对Convert类的ToChar 方法...
网站加密算法
u011393781的博客
10-27 1273
1、单向散列加密 单项散列加密是指通过对不同输入长度的信息进行散列计算,得到固定长度的输出,这个散列计算过程是单向的,即不能对固定长度的输出进行计算从而获得输入信息。 利用单向散列加密的这个特性,可以进行密码加密保存,即用户注册时输入的密码不能直接保存到数据库,而是对密码进行单项散列加密,将密文存入数据库,用户登录时,进行密码验证,同样计算得到输入密码的密文,并和数据库的密文比较,如
网站密码加密原理
云计算?
12-22 209
网站密码加密原理(初级) ——致CSDN们 我本来不想写这么初级的文章,但是发生了CSDN这当子事情之后,我还得真得写点入门级的文章,给你们科普科普。 第一:什么是密码。 通俗地讲,密码就是进入一道门的钥匙。而之所以我们能找到我们要进入的门,靠的是门牌号。那么门牌号就是用户名。不知道我这么讲,你们能不能听明白。钥匙就是带锯齿的小铁片,插到一个铁做的洞洞里,如果刚好吻合,旋转一下,就卡擦一声,打开了...
我的java web登录RSA加密
热门推荐
yys79的专栏
11-26 2万+
之前一直没关注过web应用登录密码加密的问题,这两天用appscan扫描应用,最严重的问题就是这个了,提示我明文发送密码。这个的确很不安全,以前也大概想过,但是没有具体研究过,都不了了之,这次借这个机会,终于搞定了这个问题。 首先,有不少帖子说在客户端用js对密码进行md5摘要,然后提交给登录处理的url。这种做法无非是自欺欺人,就算别人抓包抓不到你原始密码,用这个md5后的密码一样可以模拟登录...
对称加密算法(AES加密)以及对称算法与非对称算法的对比
qq_45475528的博客
07-20 2816
主要概括什么是对称加密算法,使用AES的ECB工作模式和CBC工作模式对数据进行加密与解密。以及对称加密算法与非对称加密算法的对比
加密安全——对称加密算法
weixin_46722612的博客
03-16 773
对称加密算法就是传统的用一个密码进行加密和解密。例如,我们常用的WinZIP和WinRAR对压缩包的加密和解密,就是使用对称加密算法: 从程序的角度看,所谓加密,就是这样一个函数,它接收密码和明文,然后输出密文: secret = encrypt(key, message); 而解密则相反,它接收密码和密文,然后输出明文: plain = decrypt(key, secret); 在软件开发,常用的对称加密算法有: 密钥长度直接决定加密强度,而工作模式和填充模式可以看成是对称加密算法的参数和格式
java 实现密码加密解密
05-30
Java 可以使用加密算法来实现密码加密和解密。常用的加密算法包括 MD5、SHA、DES、AES 等。 以下是一个使用 AES 算法进行密码加密和解密的示例代码: ```java import javax.crypto.Cipher; import javax.crypto.KeyGenerator; import javax.crypto.SecretKey; import javax.crypto.spec.SecretKeySpec; import java.security.NoSuchAlgorithmException; import java.util.Base64; public class PasswordEncryption { private static final String AES = "AES"; public static String encrypt(String password, String key) throws Exception { SecretKeySpec secretKeySpec = getSecretKeySpec(key); Cipher cipher = Cipher.getInstance(AES); cipher.init(Cipher.ENCRYPT_MODE, secretKeySpec); byte[] encryptedBytes = cipher.doFinal(password.getBytes()); return Base64.getEncoder().encodeToString(encryptedBytes); } public static String decrypt(String encryptedPassword, String key) throws Exception { SecretKeySpec secretKeySpec = getSecretKeySpec(key); Cipher cipher = Cipher.getInstance(AES); cipher.init(Cipher.DECRYPT_MODE, secretKeySpec); byte[] decryptedBytes = cipher.doFinal(Base64.getDecoder().decode(encryptedPassword)); return new String(decryptedBytes); } private static SecretKeySpec getSecretKeySpec(String key) throws NoSuchAlgorithmException { KeyGenerator keyGenerator = KeyGenerator.getInstance(AES); keyGenerator.init(128); SecretKey secretKey = keyGenerator.generateKey(); byte[] encodedKey = (key + secretKey.hashCode()).getBytes(); return new SecretKeySpec(encodedKey, AES); } } ``` 使用示例: ```java public class Main { public static void main(String[] args) throws Exception { String password = "password123"; String key = "secretKey"; String encryptedPassword = PasswordEncryption.encrypt(password, key); System.out.println("Encrypted password: " + encryptedPassword); String decryptedPassword = PasswordEncryption.decrypt(encryptedPassword, key); System.out.println("Decrypted password: " + decryptedPassword); } } ``` 输出结果: ``` Encrypted password: VfVvqKgiKf2vSxmdOJfJyQ== Decrypted password: password123 ```

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值