加密签名的处理解决办法

最新推荐文章于 2022-06-17 17:30:21 发布
最新推荐文章于 2022-06-17 17:30:21 发布
阅读量527 收藏
点赞数
文章标签: java mysql
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/weixin_46369027/article/details/107782125
版权

 

加密签名不合法的分析过程及解决办法

 

一、出现场景

xxx平台关于能力调用过程中post请求出现签名不合法问题。表象如下图

日志分析

          

 

 

 

定位日志分析,我们发现密文在解密之后只获取到123个字节长度,而要求的是128个字节长度,初步分析密文存在字节丢失的可能性。进而对调用的入参存在问题提出异议。

 

验证分析

1、post请求使用get入参

目前的能力调用中,get请求正常,而post请求存在签名中参数不合法,此时我们把get入参作为能力调用的post请求入参,发现这样一个结果。如下图

 

 

图中,我们发现这时isTrueSign为true,说明参数通过校验管控,不在出现签名不合法的问题。

由此可认定post请求入参在加密之后存在问题。

 

 

 

 

 

2、源码分析

查找能力调用的入口,我们发现get和post请求在签名处理上存在是否有URLEncoder.encode(sign, "utf-8")的操作。如下图

 

 

3、网上资源分析

网络资源中提到对于post请求,签名存在的特殊字符如要做如下处理,xHttp.post(szURL, java.net.URLEncoder.encoder(“crackren+001”, “UTF-8”));即要注意字符的编码问题,否则会导致个别特殊字符被替换导致签名发生变化。如下图

 

https://blog.csdn.net/iteye_19297/article/details/82546042

 

4、get和post请求的签名比较

Get请求的签名:

sign=pf%2ByhVu7VH%2F3fQpkfbWkI5pJbHiAqXDOByGpCLtXyi%2Fbl2XI7Z3vka6YgnGGazv5Dlnot4df%2F0%2BKcGLBCyD9aP3%2BsULP6biV1WFLMNhBRUOKpUQCxtlRnskEXo5Q3Fmv%2FbleIx9USGlcxBPcyP%2FrEL5qvybb%2FFma1G9D5j1jrHw%3D

 

Post请求的签名:

sign=DH42/t/378DFMJumMOfWDHSGI/3IM772LdqZX+hmR7eQPgmQofx/IE4sSDVBx2TDAqmxnoc3n5xVKXlToOCvzjrlWgSXZbwP+6clVHN2dsOfarOJYrbBoV7BQmHR/ySXTryZogzJHHwLi1W8UWXFTSGwJfomBUKY5B4njyV+Od0=

观察get和post请求签名内容,我们发现post请求的签名中有”+”这样的特殊字符,如上述分析,这样的字符如不做编码处理会存在丢失或被转义的现象。

 

5、再次测试

修改post请求的签名处理源码,做如下操作

 

处理后的入参:apiTest=true&timeStamp=20200730144719&content={"SYR":"xxx","SFZMHM":"340xxxxxxxxxxxxx"}&userName=wuxiudan&status=1&appKey=10001079&messageId=0c5f52ec85ca4bdf9837bd34d82aa18b&sign=TTZdesVuOIJ08JNQZYdd7CaJAj%2BKX%2BT0ON2P5diHIpVLTAQkLHCCbC9pZLDpmcJRl4cBAawft3hB6YCJgXKGpkB36EovPSBFPM5%2FToCQDTEUcEFfqgrQXdBwKa5dpo%2Byv9UJneoRjP2L2u%2FoOwDZ%2BwDu7HVH62fa%2FEoZeRDav8k%3D

发现签名sign中不在有”+” 这样的字符。

 

再次调用之后,结果如下图

至此问题已基本解决。

 

反思

使用加密工具给参数做加密处理时要保证签名内容在加密之后、解密之前内容完全一致,任务特殊字符的缺失都会导致解析失败、验签失败。

验证一个想法是否有效,可以控制变量来验证。正向验证、反向验证。

 

 

 

 

 

weixin_46369027
关注
各种数据文件加密和数字签名服务解决方案
peipei890819的博客
04-29 515
各种数据文件是指非PDF格式文件和数据,因为PDF格式文件有数字签名加密标准,所以,我们必须按照其标准实现数字签名加密。而其他格式文件,如文本文件、图片文件、音频文件、视频文件、Office文件、CAD文件等等,大约三百多种,当然还包括字符串数据,这些五花八门的文件大多数都不支持数字签名加密,所幸的是,这些文件都可以归类到MIME类型中。 MIME (Multipurpose Internet Mail Extensions,多用途互联网邮件扩展) ,其原本设计是用于让只支持文本的电子邮件支持各种格式
加密、数字签名和数字证书看这一篇就够了
最新发布
cz285933169的专栏
05-27 922
本文将介绍网络安全的基础知识: - 对称加密 - 非对称加密 - 混合加密 - 数字签名 - 数字证书 深入研究网络传输数据时的窃听、假冒、篡改和事后否认行为是怎么形成的,以及如何防范这些非法行为。
关于签名加密失败错误的解决
gslcn的专栏
01-23 8201
搜集自csdn 有些开源项目,在编译时会有一大堆的错误,其中最常见的是:     对程序集“XXX.dll”签名加密失败   --“读取密钥文件“XXXX.snk”时出错   --   系统找不到指定的文件。 ”     原因是没有密钥文件,可以使用这样的方法创建一个密钥文件:           1,找到签名工具sn.exe,默认的路径是:系统盘:/Program   Files/Mi
签名加密失败,读取秘钥文件出错,系统找不到指定路径 解决方法
Arcobaleno
03-05 4940
在c#项目运行的时候,遇到了这个问题: 签名加密失败,读取秘钥文件....snk出错,系统找不到指定路径 意思就是这个别人的dll文件受到了用强名称保护起来了,你必需有秘钥才能使用。最快捷的方法就是去掉强名称签名。 找到这个文件的项目的然后改动如下: 把有snk的那行给注释了。然后修改csproj文件,把该改的给改了。 重新导入项目引用文件就行了! ...
Android开发中的加密签名问题
mayqlzu的专栏
08-18 2066
声明:每个字都是自己敲的,绝对有干货,还没时间排版,抱歉; 加密签名   我们的app和服务器有什么安全隐患? 1)窃听;如果你连接了不安全的免费wifi,然后登录我们的app, 如果你的数据没有加密,你的密码是不是就可能被盗? 2)篡改或冒充;万一黑客截获了app给服务器发送的请求数据,然后 稍作修改,发送给服务器,实现修改服务器数据的目的; 3)重放;万一黑客截获了a
签名加密失败 --“对程序集签名时出错 - 拒绝访问
Csq_123456的博客
01-18 1758
签名加密失败 --“对程序集签名时出错 - 拒绝访问 打开文件夹C:\Documents and Settings\All Users\Application Data\Microsoft\Crypto\RSA\MachineKeys右键属性-》安全-》everyone 修改权限。 转自:https://www.cnblogs.com/zjoch/p/4912696.html ...
Python环境下接口测试加密鉴权的解决办法
weixin_43886252的博客
11-21 1278
最近工作中在测试WebApi的时候遇到了鉴权,验证的场景,涉及到获取token,生成密钥对等问题。 主要使用python的Hashlib库和request库,前者可以处理信息加密和摘要,后者完成Http收发。 在此总结一下几个常用请求参数的生成代码: 一. Nonce&Uuid生成 由于两者生成方法近似,故放在一起说, Nonce:number once,即只被使用一次的随机整数。 Uui...
接口数据使用了 RSA 加密签名?一篇文章带你搞定!
m0_56676641的博客
10-09 514
1、前言 很多童鞋在工作中,会遇到一些接口使用RSA加密签名处理的请求参数,那么遇到这个问题的时候,第一时间当然是找开发要加解密的方法,但是开发给加解密代码,大多数情况都是java,c++,js等语言实现的,加解密的代码虽然有了,但是咱们身为一个测试,使用python做的自动化,并不是什么语言都会,这个时候就会比较尴尬了,看着这一团加解密的代码,自己却不知从何下手,再去找开发给写个python版本的,开发估计不一定搭理你,就算搭理你,开发也未必会python,那么今天咱们就来讲讲如何通过python来
加密算法与数字签名
sinat_34998133的博客
06-17 1710
什么是加密算法 将一些我们可以理解的内容通过算法转化为我们无法理解的内容,这一过程就是加密算法所做的。 电报报文 二战时期,著名的中途岛海战,由于美军破译了日军的大量报文而获得了太平洋战争的关键性胜利。 AF---------------------------------->中途岛 编码 编码其实也可以理解为是一种加密算法 ASCII码 我们知道,计算机内部,所有信息最终都是一个二进制值。每一个二进制位(bit)有0和1两种状态,因此八个二进制位就可以组合出256种状态,这被称为一个字节(b
对程序集“----“签名加密失败
07-21 229
安装MSSQL2005的samples,然后打开Integrated Samples的C#例子,编译提示如下:错误 1 对程序集“D:\Program Files\Microsoft SQL Server\90\Samples...
数字签名加密
li_tiantian的博客
07-18 451
简单实用的签名加密 就是 进行 位运算,连续两次位运算 即可还原解密,方便,但是 缺点 是 保密性低。 /** * key 可以 自定义 具体值 * 建议使用 7 * 十进制 二进制 * 1 0001 * 3 0011 * 7 0111 * 15 1111 */ @Test public void testEncrypt(){...
微信分享invalid signature签名错误的坑
热门推荐
lovlin_l的代码世界
05-08 3万+
前一段时间做了一个微信分享的东西,而且前端框架用的是VUE,被这个东西快折磨疯了,一个列表页,一个详情页,分享详情页的时候,会报错invalid signature签名错误。当时就不淡定了,然后开始了排坑之路,根据官网的各种校验错误问题,没有发现有什么区别建议按如下顺序检查:1.确认签名算法正确,可用http://mp.weixin.qq.com/debug/cgi-bin/sandbox?t=j...
通过延迟签名加密
cxzhq2002的杂记
05-17 2079
通过延迟签名加密 保护你的私有密匙是非常重要的,如果某个恶意的人取得了你的密匙,他生成的组件将和你签过名的组件一样。因此,应当把你的密匙设于高度的保密状态,公司里面可能就只有几个人知道。这样以来,又怎么给你的组件签名呢?如果就只有你一个人知道密匙,这样会很繁琐,因为你必须为公司中每个开发者开发出来的每个组件签名。 很幸运的是.NET为这个问题提供了一个很好的方法:延迟签名。通过延迟签名,你可以在只
微信扫一扫、分享功能引入JS-SDK后端生成signature及signature和微信网页验证一致前端初始化invalid signature
doubiy的博客
08-03 1076
js-sdk微信官方文档 开发微信公众号以及微信小程序的时候,有时候会使用到微信的分享、扫一扫、地理位置等常用功能,此时需要前端使用微信的JS-SDK功能来实现。根据微信开放文档的要求,前端有一步是 “通过config接口注入权限验证配置” 这一步中的参数appId、timestamp、nonceStr、signature需要后端生成给到前端,后端生成signature的时候需要去获取两个参数即access_token和jsapi_ticket才能生成signature签名。 根据附录1的提示: 获取ac
uni-app 微信小程序中,jsencrypt加密报错的问题
qq_31481269的博客
06-17 623
uni-app 微信小程序加密的问题
AES/ECB/PKCS5Padding解密出现&quot
JWheat的博客
07-24 1312
iOS AES/ECB/PKCS5Padding解密的时候,出现" 解析 "是转义字符,相当于"引号 其他转义字符 1.转义字符在很多编程语言中都存在,如HTML转义符、java转义符、xml转义符、oracle转义符、sql转义符、sqlserver转义符、php转义符、asp转义符、vb转义符、javascript转义符等等,还有网址中的百分号; 2...
某post请求参数加密过程详解
qq_40979337的博客
06-12 7021
data参数加密过程详解
iOS 集成支付宝 对sign值做utf-8 URLencode
BearsG
08-10 9714
最近项目又一次涉及支付,遇到不少之前没注意的问题,解决了一次还是容易遗忘,就针对性的写个博客。先上遇到的问题sign值做utf-8 URLencode 由于第一次做支付签名什么的直接放前段搞,所以没遇到太多问题,支付宝文档Demo死套就行,现在为了安全考虑签名直接放后台了,所以遇到点问题就不一一赘述了。在支付的时候一直提示:交易订单处理失败,请稍后再试(ALI64)。找到原因忘了对:sign值做ut
OpenSSL编程实战:RSA, DSA, 对称加密与EVP
作者赵春平通过个人经历分享了学习OpenSSL的过程,包括遇到的困难、解决办法以及如何通过实践加深理解。他的经验对于初学者来说具有很好的参考价值,提醒我们在面对复杂技术时,要有耐心和毅力,同时也强调了不断...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值