未加密的登录请求漏洞修复(RSA加密)

最新推荐文章于 2024-04-29 23:12:11 发布
最新推荐文章于 2024-04-29 23:12:11 发布
阅读量2.6k 收藏
点赞数
分类专栏: java 漏洞 文章标签: java tomcat
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/weixin_44246694/article/details/105215070
版权
java 同时被 2 个专栏收录
11 篇文章 0 订阅
订阅专栏
漏洞
1 篇文章 0 订阅
订阅专栏

1.找到\webapps***\jsp\login.jsp:

引入js文件如图:
在这里插入图片描述

在登录form表单提交之间对密码进行加密如图:
在这里插入图片描述

2.找到\webapps***\WEB-INF\classes\org\jasig\cas\adaptors\jdbc\QueryDatabaseAuthenticationHandler.class在获取密码时对其进行解密,如图:
在这里插入图片描述
3.放入所需类、js、秘钥文件、配置项

(1)将补丁包中的__RSA_PAIR.txt文件放到*\webapps\项目名\WEB-INF目录下。

(2)将补丁包中的security.js文件放到*\webapps\项目名\js目录下。

(3)将补丁包中的lib文件夹中的jar包放到*\webapps\项目名\WEB-INF\lib目录下。

(4)将补丁包中的PublicKeyMap.class,RSAUtils.class放到*\项目名\WEB-INF\classes\com\tiantiankuaile\util下

tobias_001
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
发送请求时,在加密的情况下不需要请求体和不需要加密时的处理
weixin_47686269的博客
10-22 311
发送请求时,在加密的情况下不需要请求体和不需要加密时的处理 不需要请求体 getWxDefaultParamWay(){ console.log('开始注册') // let params = { // } // 设置需要加密的字符串 // let encryptData = encodeURIComponent(this.$jse.encryptLong(this.$Base64.encode(JSON.stringify(pa
十大常见web漏洞及防范
z099164的博客
02-20 1718
互联网和Web技术广泛使用,使Web应用安全所面临的挑战日益严峻,Web系统时时刻刻都在遭受各种攻击的威胁,在这种情况下,需要制定一个完整的Web攻击防御解决方案,通过安全的Web应用程序、Web服务器软件、Web防攻击设备共同配合,确保整个网站的安全。此外 ,Web攻击防御是一个长期持续的工作,随着Web技术的发展和更新,Web攻击手段也不断发展,针对这些最新的安全威胁,需要及时调整Web安全防护策略,确保Web攻击防御的主动性,使Web网站在一个安全的环境中为企业和客户服务。否则,网络流量顺利通过。
RSA实现中弱密钥漏洞分析
最新发布
No_Name_Cao_Ni_Mei的博客
04-29 568
RSA是目前应用最广泛的公钥加密算法之一,它的安全性取决于大素数的难以分解性。然而,研究发现在RSA实现中存在一种弱密钥漏洞,即通过选择过于接近的素数作为RSA模数来生成密钥对,会导致RSA算法的安全性大打折扣。本文通过分析该弱密钥漏洞的原理和影响,对其进行深入剖析。首先,我们介绍了RSA算法的基本原理和密钥生成过程。然后,我们详细解释了弱密钥漏洞的成因,即模数过于接近时,存在相同或非常相似的素因子,从而使得攻击者可以经过遍历计算得到私钥,进而对加密数据进行解密。
web登陆非对称加密 已解密的登录请求
neusoft-mengxiaoming的专栏
07-20 956
一、js引入Barrett.js、BigInt.js、RSA.js 二、js请求后台获取key $http({ method: 'post', url: 'action/key', params: { t:Math.random() }, headers: { 'Content-Type': 'ap...
已解密登录请求
sunny_happy08的博客
10-12 1357
已解密登录请求 配置SSL,具体见http://serisboy.iteye.com/admin/blogs/1320231 在web.xml加入如下配置。 Java代码 <security-constraint> <web-resource-collection > <web-resource-name >SSL</web-resource-na...
Web表单提交漏洞
bocai_xiaodaidai的博客
12-20 1857
一、漏洞的存在 某些网站服务端存在权限校验漏洞,使得前端可以随意提交任何表单信息。 二、漏洞演示 1、以下是某网站表单信息。对于普通用户是无法提交表单信息的,该网站仅仅隐藏了提交按钮,但内容仍可编辑。 可以通过尝试直接在浏览器的html中加入<button type='submit'>来提交。如何该网站服务端没有设置相应提交权限,则会修改成功。 2、以下是另一个网站...
一种绕过AppScan加密漏洞的简单方法(附代码)
qq_42000667的博客
11-14 1611
本人描述了一种如何在http下实现password等confidential信息的传输,并能绕过appscan加密漏洞报告的简单方法,并附与代码。
Java安全知识点详解:加密、认证、防护和漏洞扫描
06-19
漏洞扫描工具如OWASP Zap和Nessus帮助企业识别并修复安全漏洞。 密码学是保护数据的核心。哈希算法用于密码存储,选择合适的哈希函数要考虑安全性和效率。盐值(Salt)增加密码哈希的安全性,使相同密码的哈希结果...
加密算法及webpecker
02-03
- 非对称加密:如RSA、DSA(Digital Signature Algorithm)、ECC(Elliptic Curve Cryptography),使用一对公钥和私钥,公钥可公开,私钥需保密,提供了更高的安全性,但计算复杂度高,适用于小规模数据加密和密钥...
Socket加密通信 socket communication development
10-08
4. 定期审计:对Socket通信进行安全审计,及时发现并修复潜在的安全漏洞。 总之,Socket加密通信是现代网络服务的基础,通过使用SSL/TLS等加密协议,我们可以确保数据在网络中的安全传输,有效抵御各种网络威胁。...
openssl-1.0.1g heartbleed漏洞已经修复
04-09
**OpenSSL 1.0.1g 与 Heartbleed 漏洞修复详解** OpenSSL 是一个开源的加密库,广泛应用于各种网络服务,包括 HTTPS、SMTPS 和 FTPS 等,为互联网提供了安全通信的基础。在2014年4月8日,一个重大的安全漏洞被曝光...
RSA加密文件 RSAKey.txt
02-01
详见博客 http://blog.csdn.net/hanlin0605/article/details/54809563
ASP.NET安全和加密
09-25
ASP.NET提供异常处理机制,可以捕获并优雅地处理错误,同时记录详细日志,帮助开发者识别和修复安全漏洞。 8. **HTTPS与SSL/TLS**:使用HTTPS可以加密HTTP通信,保护用户数据不被中间人窃取。ASP.NET支持配置应用...
Ftp服务器的漏洞利用与修补
weixin_34007879的博客
07-25 528
       Serv_u是目前搭建ftp服务器最普遍的服务器之一,提升权限利用的漏洞原理主要有一下几点:       一、默认安装了系统服务,系统服务运行的是system权限,这个是可以创建系统账号的,可以通过相关命令创建       二、没有修改serv_u的默认密码,旧密码大家都知道,到网上搜一下就知道了          黑客可以通过入侵一个网站,得到一个webshell,通过w...
GNS3 cloud 连接错误_【缺陷周话】第46期:邮件服务器建立加密的连接
weixin_39665762的博客
10-22 370
聚焦源代码安全,网罗国内外最新资讯!*声明:《缺陷周话》栏目系列文章由奇安信代码卫士团队原创出品。经许可,禁止转载。转载请注明“转自奇安信代码卫士 www.codesafe.cn”。代码审计是使用静态分析发现源代码中安全缺陷的方法,辅助开发或测试人员在软件上线前较为全面地了解安全问题,防患于然,因此一直以来都是学术界和产业界研究的热点,并已成为安全开发生命周期SDL 和DevS...
FTP(匿名登录授权访问漏洞复现(vsftpd2.3.4)
顾蒅' Home
09-06 8586
FTP(匿名登录授权访问漏洞复现 0x01 漏洞简述 FTP匿名登录一般指使用FTP的用户启用了匿名登录功能,容易被黑客攻击,发生恶意文件上传或更严重的入侵行为。 0x02 风险等级 漏洞评定结果如下: 评定方式 等级 威胁等级 严重 影响面 广泛 0x03 漏洞详情 FTP是文件传输协议(File Transfer Protocol)的缩写,是用于在网络上进行文件传输的一套标准协议,它工作在 OSI 模型的第七层, TCP 模型的第四层, 即应用层, 使用 TCP 传输的, 客户在和
FTP漏洞利用
weixin_49340699的博客
10-23 2121
FTP(File Transfer Protocol,文件传输协议) 是 TCP/IP 协议组中的协议之一。 可他有一个不可避免的漏洞那就是FTP用户名明文密码验证。 FTP协议用于用户认证时客户端和服务器是通过明文进行交互的。 实验 先使用kali连接靶机的21端口 同时打开wireshark抓包ftp 可以发现传输是明文 则我们就可以使用工具arpspoof进行arp嗅探冒充网关对目标ip为192.168.19.106的主机进行arp欺骗 arpspoof -i eth0 192.168.1.1 -t
常见安全漏洞及整改建议
sjh_c513的专栏
12-09 4388
1. HTML表单没有CSRF保护 1.1 问题描述: CSRF(Cross-site request forgery),中文名称:跨站请求伪造,也被称为:one click attack/session riding,缩写为:CSRF/XSRF。 CSRF攻击:攻击者盗用了你的身份,以你的名义发送恶意请求。CSRF能够做的事情包括:以你名义发送邮件,发消息,盗取你的账号,甚至于购买
WEB常见漏洞总结
weixin_46244909的博客
10-13 1025
一、SQL注入漏洞 (1)表单提交,主要是POST请求,也包括GET请求; (2)URL参数提交,主要为GET请求参数; (3)Cookie参数提交; (4)HTTP请求头部的一些可修改的值,比如Referer、User_Agent等; (5)一些边缘的输入点,比如.mp3文件的一些文件信息等。 常见的防范方法 (1)所有的查询语句都使用数据库提供的参数化查询接口,参数化的语句使用参数而不是将用户输入变量嵌入到SQL语句中。当前几乎所有的数据库系统都提供了参数化SQL语句执行接口,使用此接口可以非常有效的防
基于python的RSA加密算法软件设计与实现.docx
08-17
基于python的RSA加密算法软件设计与实现

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值