前端js传输明文漏洞

最新推荐文章于 2024-07-19 14:11:18 发布
最新推荐文章于 2024-07-19 14:11:18 发布
阅读量1k 收藏 1
点赞数
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/zhangtxsir/article/details/104010334
版权

我这是用的是用到的是Google的aes加密算法,下载地址https://github.com/brix/crypto-js/tree/master,中间还是踩了一些坑,aes加密算法有多种模式,具体可看https://www.cnblogs.com/shawWey/p/8425663.html
我这是用到的是CBC模式,废话不多说,直接上代码:

js代码

//aes加密
function encrypt(word) {
     var key = CryptoJS.enc.Utf8.parse("1234560405060708"); //16位
     var iv = CryptoJS.enc.Utf8.parse("1234560405060708");
     var encrypted = '';
     if (typeof(word) == 'string') {
         var srcs = CryptoJS.enc.Utf8.parse(word);
         encrypted = CryptoJS.AES.encrypt(srcs, key, {
             iv: iv,
             mode: CryptoJS.mode.CBC,
             padding: CryptoJS.pad.Pkcs7
         });
     } else if (typeof(word) == 'object') {//对象格式的转成json字符串
         data = JSON.stringify(word);
         var srcs = CryptoJS.enc.Utf8.parse(data);
         encrypted = CryptoJS.AES.encrypt(srcs, key, {
             iv: iv,
             mode: CryptoJS.mode.CBC,
             padding: CryptoJS.pad.Pkcs7
         })
     }
     return encrypted.ciphertext.toString();
 }
 // aes解密
 function decrypt(word) {
     var key = CryptoJS.enc.Utf8.parse("1234567890000000");
     var iv = CryptoJS.enc.Utf8.parse("1234567890000000");
     var encryptedHexStr = CryptoJS.enc.Hex.parse(word);
     var srcs = CryptoJS.enc.Base64.stringify(encryptedHexStr);
     var decrypt = CryptoJS.AES.decrypt(srcs, key, {
         iv: iv,
         mode: CryptoJS.mode.CBC,
         padding: CryptoJS.pad.Pkcs7
     });
     var decryptedStr = decrypt.toString(CryptoJS.enc.Utf8);
     return decryptedStr.toString();
 }

java代码


package cn.stylefeng.guns.core.util;

import lombok.extern.slf4j.Slf4j;
import org.apache.commons.lang3.RandomUtils;
import org.apache.commons.lang3.StringUtils;

import javax.crypto.Cipher;
import javax.crypto.spec.IvParameterSpec;
import javax.crypto.spec.SecretKeySpec;
import java.util.Random;

/**
 * @ClassName:AESUtil
 * @Author:txzhang
 * @Date:2020/1/16—11:39
 * @Description: Google aes CBC模式 加解密
 **/
@Slf4j
public class AESCBCUtil {

    private static final String ENCODING = "GBK";

    private static final String KEY_ALGORITHM = "AES";
    /**
     * 加解密算法/工作模式/填充方式
     */
    private static final String DEFAULT_CIPHER_ALGORITHM = "AES/CBC/PKCS5Padding";
    /**
     * 填充向量
     */
    public static final String FILL_VECTOR = "1234560405060708";

    private static final String ALL_CHAR = "0123456789abcdefghijklmnopqrstuvwxyz";
    private static final int charLength = 36;

    /**
     * 加密字符串
     *
     * @param content  字符串
     * @param password 密钥KEY
     * @return
     * @throws Exception
     */
    public static String encrypt(String content, String password) {
        if (StringUtils.isAnyEmpty(content, password)) {
            log.error("AES encryption params is null");
            return null;
        }

        byte[] raw = hex2byte(password);
        SecretKeySpec skeySpec = new SecretKeySpec(raw, KEY_ALGORITHM);
        Cipher cipher = null;
        try {
            cipher = Cipher.getInstance(DEFAULT_CIPHER_ALGORITHM);
            IvParameterSpec iv = new IvParameterSpec(FILL_VECTOR.getBytes());
            cipher.init(Cipher.ENCRYPT_MODE, skeySpec, iv);
            byte[] anslBytes = content.getBytes(ENCODING);
            byte[] encrypted = cipher.doFinal(anslBytes);
            return byte2hex(encrypted).toUpperCase();
        } catch (Exception e) {
            log.error("AES encryption operation has exception,content:{},password:{}", content, password, e);
        }
        return null;
    }

    /**
     * 解密
     *
     * @param content  解密前的字符串
     * @param key 解密KEY
     * @return
     * @throws Exception
     * @author cdduqiang
     * @date 2014年4月3日
     */
    public static String decrypt(String content, String key) {
        if (StringUtils.isAnyEmpty(content, key)) {
            log.error("AES decryption params is null");
            return null;
        }
        try {
            byte[] raw = hex2byte(key);
            SecretKeySpec skeySpec = new SecretKeySpec(raw, KEY_ALGORITHM);
            Cipher cipher = Cipher.getInstance(DEFAULT_CIPHER_ALGORITHM);
            IvParameterSpec iv = new IvParameterSpec(FILL_VECTOR.getBytes());
            cipher.init(Cipher.DECRYPT_MODE, skeySpec, iv);
            byte[] encrypted1 = hex2byte(content);
            byte[] original = cipher.doFinal(encrypted1);
            return new String(original, ENCODING);
        } catch (Exception e) {
            log.error("AES decryption operation has exception,content:{},password:{}", content, key, e);
        }
        return null;
    }

    private static byte[] hex2byte(String strhex) {
        if (strhex == null) {
            return null;
        }
        int l = strhex.length();
        if (l % 2 == 1) {
            return null;
        }
        byte[] b = new byte[l / 2];
        for (int i = 0; i != l / 2; i++) {
            b[i] = (byte) Integer.parseInt(strhex.substring(i * 2, i * 2 + 2), 16);
        }
        return b;
    }

    public static String byte2hex(byte[] b) {
        String hs = "";
        String stmp = "";
        for (int n = 0; n < b.length; n++) {
            stmp = (java.lang.Integer.toHexString(b[n] & 0XFF));
            if (stmp.length() == 1) {
                hs = hs + "0" + stmp;
            } else {
                hs = hs + stmp;
            }
        }
        return hs.toUpperCase();
    }

    /**
     * key生成器
     * @return
     */
    public static String generatorKey(int length) {
        StringBuffer result = new StringBuffer();
        Random random = new Random();
        for (int i = 0; i < length; i++) {
            int index = random.nextInt(charLength);
            result.append(ALL_CHAR.charAt(index));
        }
        return result.toString();
    }

    public static void main(String[] args) {
        String pwd = "123456";
        String key = "1234567890000000";
        String key2 = byte2hex(key.getBytes());
        String encrypt = encrypt(pwd, key2);
        System.out.println(encrypt);

        System.out.println(decrypt(encrypt, key2));
    }
}

简单贴一下controller代码

@RequestMapping(value = "/login", method = RequestMethod.POST)
public String loginVali(HttpSession session) {
      String username = super.getPara("username").trim();
      String password = super.getPara("password").trim();
      String remember = super.getPara("remember");
      String key = AESCBCUtil.byte2hex(AESCBCUtil.FILL_VECTOR.getBytes());
      String newPwd = AESCBCUtil.decrypt(password, key);
      Subject currentUser = ShiroKit.getSubject();
      UsernamePasswordToken token = new UsernamePasswordToken(username, newPwd.toCharArray());

      //如果开启了记住我功能
      if ("on".equals(remember)) {
          token.setRememberMe(true);
      } else {
          token.setRememberMe(false);
      }
      //
	...
}

参考:
https://blog.csdn.net/xzx4959/article/details/81951037
https://www.cnblogs.com/shawWey/p/8425663.html
https://www.cnblogs.com/liyingying/p/6259756.html
https://www.jianshu.com/p/6eef6cf17c25

zhangtxsir
关注
  • 0
    点赞
  • 1
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
密码明文传输、弱口令漏洞验证测试
afei001
12-11 2717
目录 1.前言 2.密码明文传输漏洞介绍 3.密码明文传输漏洞验证 4.密码明文传输漏洞修复 5.弱口令漏洞介绍 6.弱口令漏洞验证 7.弱口令漏洞修复 1.前言 前几天在对网站进行安全性测试时,在AWVS上扫描出密码明文传输漏洞。密码明文传输也是常见漏洞了,现在大部分网站的安全性还是很高的,密码加密、使用HTTPS协议、加入验证码机制等。但也有部分网站几乎没有做任何安全设置。 2.密码明文传输漏洞介绍 密码明文传输一般存在于web网站登陆页面,用户名...
关于明文传输的问题
热门推荐
发哥微课堂
09-12 1万+
引子: 上周拿到一个线上复测的项目,中间有一个明文传输问题,这个问题平时基本不记,客户那测试基本都是内网环境,上线基本都是 https。这个问题之前是这样测试的:抓包,如果内容是明文就记这个问题,这里存在很多的问题。 问题 1:线上环境 https 为什么抓到的包是明文 这个问题很容易搜到答案,原因在于 https 的加密是传输的过程,burp 拦截的数据包没有走到传输那一步,它只相当于拦截...
在html前端页面中密码输入框,输入一个字符显示明文,过一秒后再变*号的效果如何用js实现
12-10
在html前端页面中密码输入框,输入一个字符显示明文,过一秒后再变*号的效果如何用js实现
前端安全问题
u014715787的博客
08-13 384
#前端如何预防xss攻击 可使用js-xss库(自定义配置过滤规则) ,针对xss问题,一般采用前端在回显时过滤,后端在输入时过滤。 网址:http://jsxss.com #前端避免明文传输 可以采用MD5、hase或者加密策略 #漏扫如果提示表单采用get方式提交 需要在表单标签加method="post"避免此问题。 #避免CSRF问题 前端在请求头增加 xhr.setRequestHe...
解决系统明文传输的问题(亲测有效)
最新发布
tlovet_1314的博客
07-19 809
解决明文传输问题
js显示与隐藏密码明文案例
m0_62937694的博客
11-06 3099
这个案例核心是:通过点击事件click,每点击一次,让文本框和密码框交换,相应的也改变图片路径,用一个全局变量,来帮助判断条件,在每次判断完之后,注意要让变量取反;代码如下: <body> <div class="box"> <label for=""> <img src="img/yin.png" alt="" id="eye"> </label>
jsencrypt加解密
weixin_45695727的博客
10-18 507
import JSEncrypt from 'jsencrypt/bin/jsencrypt.min' // 密钥对生成 http://web.chacuo.net/netrsakeypair const publicKey = 'MFwwDQYJKoZIhvcNAQEBBQADSwAwSAJBAKoR8mX0rGKLqzcWmOzbfj64K8ZIgOdH\n' + 'nzkXSOVOZbFu/TJhZ7rFAN+eaGkl3C4buccQd/EjEsj9ir7ijT7h96MCAwEAAQ=='
前端学习(826):仿京东显示隐藏显示明文密码案例下
歌谣的博客
04-12 344
<!DOCTYPE html> <html lang="en"> <head> <meta charset="UTF-8"> <meta name="viewport" content="width=device-width, initial-scale=1.0"> <title>Document&...
前端JS面试题2021及答案
m0_67391677的博客
03-09 754
一、数据类型 1、JavaScript中什么是基本数据类型什么是引用数据类型?以及各个数据类型是如何存储的? 基本数据类型有 Number String Boolean Null Undefined Symbol(ES6新增数据类型) bigInt 引用数据类型统称为Object类型,细分的话有 Object Array Date Function RegExp 基本数据类型的数据直接存储在栈中;而引用数据类型的数据存储在堆中,每个对象在堆中有一个引用地址。引用类型在栈中会保存他的引用地址,以便快速
使用Fiddler检测和修复前端代码中的漏洞
![使用Fiddler检测和修复前端代码中的漏洞](https://img-blog.csdnimg.cn/20210910193614686.png?x-oss-process=image/watermark,...前端代码漏洞是指程序员在编写前端代码时留下的漏洞,使得恶意用户可以利用这些漏洞
js密码转换为明文通用模板
z1552244的博客
05-05 568
js密码明暗文显示 <!DOCTYPE html> <html> <head> <meta charset="utf-8" /> <title></title> <style type="text/css"> .box{ position: relative; width: 400px; border-bottom: 1px solid #ccc; margin: 100p
stylefeng / Guns开发文档完整版
07-11
stylefeng / Guns开发文档完整版,V1.0的完整版,不是那种只有目录结构的,是真正的完整文档
敏感信息明文传输相关问题小结
18年3月萌新白帽子
12-24 1万+
最近在工作中,由于同事对敏感信息明文传输这个漏洞认识不深,导致工作出了一些问题。经过一番研究后,发现了其中的一些小知识点,在这里跟大家分享下,具体情况是这样的: 1.我们在做安全测试的时候,经常可以通过Burpsuit抓包看到一些以明文方式呈现的敏感信息,比如在页面登陆处,我们输入账号密码,通过Burpsuit抓包,可以看到如下类似的数据包。   可以看到在数据包中,用户登陆用的账号和密...
JS中常见的安全漏洞
weixin_70191743的博客
11-28 2184
JS中常见的安全漏洞
JS文件接口漏洞
一醉一休的博客
02-25 2336
现在网页一般都会使用javascript实现页面的动态效果,在使用到javascript的页面中,javascript代码存放的位置一般存在这几个位置 1.在<script 与 /script>标签之间 2.在一些javascript事件中 3.外置的javascript代码,以.js文件存在 前言   我们可以通过键盘的F12快速打开调试工具,可以看到在html代码里面嵌入了一些js文件,也能够在网络请求中看到一些js文件的请求。   而在网页的这些.
js经典案例_WebFuzzing方法和漏洞案例总结
weixin_39546661的博客
11-26 286
WebFuzzing方法和漏洞案例总结作者:Vulkey_Chen博客:http://gh0st.cn背景之前有幸做过一次线下的议题分享《我的Web应用安全模糊测试之路》,讲解了一些常用的WebFuzzing技巧和案例,该议题得到了很大的回响,很多师傅们也与我进行了交流,但考虑到之前分享过很多思路非常不全面,这里以本篇文章作为一次总结,以实战引出技巧思路(方法)。我的Web应用安全模糊测试之路议题...
业务安全漏洞总结
越努力 越自由
11-26 6902
登录认证模块 暴力破解 暴力破解测试是指针对应用系统用户登录账号与密码进行的穷举测试,针对账号或密 码进行逐一比较,直到找出正确的账号与密码
系统明文密码加密传输
格局决定一切,智恒方远
03-12 6376
  最近项目PL提出系统数据越权和明文密码传输问题,涉及网络安全的问题,这让我一脸懵逼,查阅相关资料后做相关记录1. 数据越权:      涉及重要功能需要验证用户是否当前用户操作,修改密码功能接口参数用户Id人员被恶意篡改,应该应用系统token缓存用户信息做修改密码操作2. 明文密码:      1. 加密解密1.1 前端js加密概述对系统安全性要求比较高,那么需要选择https协议来传输数据...
网络攻防技术:明文传输漏洞与防御解析
"其他协议明文传输漏洞攻击与防御-网络攻防技术(完整版--网了工程师必看)" 网络安全是当前信息技术领域中的一个重要课题,尤其是对于网络攻防技术的理解和应用。本文将深入探讨一种常见的安全隐患——其他协议...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值