渗透国密网站

最新推荐文章于 2025-03-06 03:05:22 发布
最新推荐文章于 2025-03-06 03:05:22 发布
阅读量1.9k 收藏 12
点赞数 11
分类专栏: 渗透测试 文章标签: 国密
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/weixin_44288604/article/details/135220041
版权
文章讲述了作者在测试国密网站时的经历,从早期依赖收费工具GMProxy,到后来发现Yakit支持国密并能通过Socks5和GMTLS进行访问。作者推荐了个人使用的密信浏览器,并介绍了不同浏览器模式下的国密TLS支持情况。

摘要生成于 C知道 ,由 DeepSeek-R1 满血版支持, 前往体验 >

访问国密网站的浏览器:

  1. 红莲花国密浏览器:https://mp.weixin.qq.com/s/bp3VoanGWMGxvrFHkH6lQQ
  2. 零信浏览器:https://mp.weixin.qq.com/s/9GYMle5oGsBWLQ_O0eAW-A
  3. 360安全浏览器(国密版):https://browser.360.net/gmzb.html#
  4. 可信浏览器:https://www.qianxin.com/ctp/gmbrowser.html
  5. 密信浏览器:https://www.mesince.com/zh-cn/browser/

个人用的是密信浏览器,完全免费,软件轻巧,下载即用。

国密网站:

中国银行国密专版网站:https://ebssec.boc.cn

以前,对国密网站进行渗透测试很蛋疼,需要使用北京水熊虫网络科技有限公司的GMProxy才能测试国密网站,他们的网站对工具的使用有详细的介绍:https://www.gmproxy.cn/
但是唯一的问题的,工具收费
image.png
三天试用期到了之后,就会这样
image.png
直到某天,发现Yakit声称支持国密了,测试一下,真的可以使用,喜大普奔。
QQ图片20230518141628.jpg
通过免配置的方式启动一个谷歌浏览器,然后就访问到了国密网站,但是访问速度很缓慢。
image.png
关于国密问题。这里额外多啰嗦一下:
摘自文章使用 Socks5 来劫持 HTTPS(TCP-TLS) 之旅
虽然大家在 yak 核心引擎中还能看到 martian 的影子,但是需要提醒的是,这个 martian 已经不是大家认识的 google/martian 了,我们对他进行了大量 Bug 修复,上下文控制以及 Socks5 支持,认证代理支持的修改,甚至我们还在他的基础上支持了国密算法的劫持套件,以助力对国内一些特殊站点的测试。
同时,支持 GMTLS 我们还支持多种选项:

  1. 国密 TLS 优先:当这个选项开启后,进行 TLS 劫持后连接时将优先进行 GMTLS 连接;
  2. 仅国密 TLS:当这个选项开启后,将不再支持普通 TLS 的劫持功能。

当然,普通模式下,TLS 如果连接不成功,会自动进行 GMTLS 的备份连接,前提是需要开启 “国密劫持” 选项。
image.png

crypto在线加的一些网站国密、hash、对称等)
yangguoyu8023的博客
03-30 2785
crypto在线加的一些网站国密、hash、对称等)
Python中实现国密SM2加
布啦啦
03-18 3256
在数字世界的探索旅程中,我们经常会遇到各种技术挑战和安全问题。作为一名热爱技术的实践者,我一直在寻找那些能够提升我们工作效率和安全性的“奇技淫巧”。在这个过程中,我发现,很多宝贵的知识和经验往往散落在网络的各个角落,等待着我们去发现和整理。这次,我想和大家分享的,是我在前端JS中使用SM2加处理码的一次实践。这不仅是一个技术实验,更是一次对网络安全世界的深入探索。通过这个案例,我希望能够为同行们提供一些新的视角和思路,无论是在渗透测试还是安全防护方面。
国密工具
12-10
支持各种国密算法,例如:SM2,SM3,SM4, 还支持其它算法比如:3DES,MAC,AES,RSA; 还包含数据转换比如:ASCII和十六进制的互相转化, 非常值得分享的一个软件。
国密浏览器是什么?有哪些?有什么特点?
行云管家
11-29 6007
国密浏览器是什么?有哪些?有什么特点?今天我们小编就给大家详细回答这三个问题。
Bytomd 助记词恢复钥体验指南
weixin_34314962的博客
10-26 527
比原项目仓库: Github地址:github.com/Bytom/bytom Gitee地址:gitee.com/BytomBlockc… 国密算法是指码管理局制定的自主可控的产算法,包括一系列码学算法:SM1、SM2、SM3、SM4、SM7、SM9、以及祖冲之算法。最常用的三种商用码算法是 SM2椭圆曲线公钥码算法、SM3码杂凑算法以及 SM4分组码算法。 其中,SM2 算法...
如何在Chrome、IE里访问国密网站
xiaoleio的专栏
01-15 8533
随着国密网站的增多,很多常用浏览器不支持国密SSL网站访问的问题日益突出,如Chrome 、Edge、IE 等浏览器均不能访问国密SSL网站。而很多政府、银行、科研机构仍然运行着面向IE开发的应用,同时这些应用需要依赖 ActiveX 插件来完成特定的操作。虽然 IE6/7/8 已经有很多年的历史,但难以否认地是,至今 IE6/7/8/9/11依然没有被淘汰,考虑到一些大的机构、公司内还使用着 Windows XP/7 操作系统;对于新的应用往往需要 IE9+ 、Chrome甚至于交叉环境下运行。那么如何在
国密https访问
fenglllle的博客
10-21 5645
现在的SSL的加算法实际上主要是际算法,包括JDK,Go等语言也仅支持际算法加(毕竟是外开源项目),hash。随着国密算法的普及,比如openssl就支持国密了,还要新版本的Linux内核也开始支持,以openssl为例:那么如果需要国密证书,或者访问国密https的时候就需要特定的sslsocket的握手算法传输层码协议(TLCP)GB/T 38636-2020:传输层码协议该协议与TLS协议的最重大区别,就是要求通信端提供两个证书:认证证书和加证书。
Python+Selenium测试国密网站
xiaoleio的专栏
11-18 316
Selenium测试直接运行在浏览器中,就像真正的用户在操作一样。支持的浏览器包括IE(7, 8, 9, 10, 11),Mozilla Firefox,Safari,Google Chrome,Opera,Edge等。这个工具的主要功能包括:测试与浏览器的兼容性——测试应用程序看是否能够很好得工作在不同浏览器和操作系统之上。支持自动录制动作和自动生成.Net、Java、Perl等不同语言的测试脚本。但目前Selenium 还无法测试国密网站,这无疑给一些国密WEB 系统的测试带来问题。
基于安卓系统的国密硬件加系统设计与实现.pdf
09-21
6. **安全性评估与测试**:对系统进行全面的安全性评估和渗透测试,确保系统的抗攻击能力。 通过以上的设计和实现,基于安卓系统的国密硬件加系统能够在保护用户隐私和数据安全的同时,提供便捷的用户体验。这种...
手把手教你玩转SM3国密算法:从入门到应用实战指南
最新发布
skyksksksksks的博客
03-06 847
SM3就像数据世界的"指纹识别",虽不如SM2/SM4那样直观,却是构建信任体系的基石。在互联网时代,数据安全就像你家的防盗门——没有它,你的隐私随时可能被撬开。而SM3国密算法就是中自主研发的"防盗门锁芯",用于保护数据完整性、防篡改。家大力推广码算法,SM3与SM2、SM4共同构成我商用码体系"三剑客",广泛应用于金融、政务等领域。需要额外提供钥(比如一串码),只有知道钥的人才能生成正确的MAC值。SM3会生成一个唯一的"指纹码",对方用同样的算法计算后比对,就能发现是否被修改。
gm-crypto-test-suite:这是基于Golang的国密测试套件,用于测试国密SM2实现库或KMS服务,并验证其与tjfoc-gm的兼容性
02-25
国密测试套件(GM Crypto Test Suite) 这是基于Golang的国密测试套件,用于测试国密SM2实现库或KMS服务,并验证其与的兼容性。 测试对象 测试对象分为2种:KMS,国密算法库中的SM2非对称钥。 KMS(钥管理服务)是钥管理服务,由服务提供商提供钥的计算,存储服务,开发者通过调用其api完成钥的生成,删除,加解,签名验签等操作。下,对于非对称钥(SM2),开发者无法获取私钥,使用服务商提供的KeyID作为钥的标识;同时,开发者可以获取公钥,将公钥正确解析后,直接用于加,验签。 国密算法库是对国密算法的实现,可以是源代码或链接库的形式,完全在本地运行。 简言之,两者差异在于: KMS无法获取私钥,只有KeyID;算法库可以直接使用私钥 KMS在钥生成,签名,解时是远程计算;算法库全部是本地计算 为什么要测试 钥,签名的编码格式可能不同比方
国密SSL浏览器访问国密SSL规范Tomcat服务器的完整方法(附演示DEMO访问方法)
04-09
1. 解压缩ZIP文件,安装国密浏览器(只能安装此版本,其它版本不能信任指定根证书,无法使用) 2. 将ctl.dat文件复制到此目录下:C:\Users\自己的账户名\AppData\Roaming\360se6\Application\User Data\Default\ctl 注意:上面从"User Data\Default\ctl"的目录并不存在,需要手工创建 3. 使用新安装的国密浏览器访问 https://127.0.0.1 地址,浏览器通过GMSSL_ECC_WITH_SM4_CBC_SM3国密码套件与TOMCAT服务器建立国密SSL规范的单向加通道,并打开指定网页 以上步骤经过实际测试 感谢大宝CA(http://www.DoubleCA.com)的国密SM2数字证书支持
SM2&SM3;&SM4;国密算法测试工具
04-20
该工具实现了SM2、SM3和SM4算法等国密算法,包括SM2签名验签,SM3摘要运算,SM4数据加解,功能强大,方便大家学习国密算法!!!
SM2 SM4 国密算法 运算工具测试必备
12-27
支持国密算法数据加,钥测试,多端口协同加结果对比测试
「红蓝对抗」免改造应用的国密数据安全实践 - 移动安全.zip
11-26
「红蓝对抗」免改造应用的国密数据安全实践 - 移动安全 渗透测试 勒索软件 安全分析 业务风控 Web安全
移动应用国密数据安全与红蓝对抗策略
通过以上详细知识点的阐述,可以看出本文件对于移动安全领域的国密数据安全实践、渗透测试、勒索软件防御、安全分析、业务风控和Web安全等多个方面都有深入探讨。它不仅涵盖了理论知识,还可能包含了实际操作案例和...
检测网站是否支持国密SSL协议
jsjrong的博客
09-25 629
检测网站是否支持国密算法
国密
明潮的BLOG
12-07 462
官方网站:http://www.oscca.gov.cn/
搭建国密SSL开发测试环境
云水木石
03-05 8068
国密算法包含了一系列的加算法,用途广泛,可以用于软硬件加、签名等地方。我主要研究国密算法在SSL/TLS/HTTPS通信中的应用,这会涉及到客户端和服务器端,最典型的用例就是浏览器访...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值