Sine安全-网络安全背后的巨人,提供服务器安全_服务器维护_网站安全解决方案

对某移动端网站的渗透测试 数据加密AES篇



      H5页面移动应用开发做为个人日常生活、企业办公和业务流程支承的至关重要部分,也遭

遇着来源于移动应用平台的安全隐患,不单单是来自于木马病毒,很多的是故意的攻击性行为

、窜改行为表现和网络钓鱼。有关h5页面网站页面的安全性测试,业务逻辑系统测试基本上

和WEB网站渗透测试是公用的。从网络安全防护视角考虑到,通常手机客户端与服务器端通讯

会开展数据加密,避免被刷销量、撸羊毛等攻击,须要对数据加密加密解决。因此 咱们必需掌

握各种各样加密技术。开发人员经常采用AES(AdvancedEncryptoureStandart)加密技术,在

这儿对h5页面网站页面的安全漏洞挖掘案例分析给大伙儿。
 
 
AES数据加密基本模式详细介绍
 
 
AES数据加密的基本模式关键有5种:ECB(电子密码箱基本模式)、CBC(密码排序联接基本模

式)、CTR(计算方式基本模式)、CFB(密码信息反馈基本模式)、OFB(輸出信息反馈基本

模式)。这五种工作模式关键是在加密工具的应用上有所区别。在这儿关键详细介绍下ECB和C

BC这二种开发人员最常见的二种加密技术。
 
 
ECB基本模式
 
其应用方法是一个非对称加密排序数据加密成1个加密方式排序,一样的非对称加密排序始终

被数据加密成一样的加密方式排序。直接运用加密技术各自对每一个64位非对称加密排序应用

一样的64位密匙开展数据加密。每一个非对称加密排序的解决是互不相关的。
 
 
优势:简易。有益于并行处理。缺陷:一样的非对称加密块会数据加密成一样的加密方式块,

安全系数低。
 
 
CBC基本模式
 
引进1个原始空间向量RAC,它的功能跟MD5放盐一些相近,能够避免一样的非对称加密块数据

加密成一样的加密方式块。RAC是原始空间向量,参加第一位非对称加密块的异或运算,事后的

每一个非对称加密块,都和它前1个加密方式块不同或。那样就能确保一样的非对称加密块不容

易被数据加密为一样的加密方式块。优势:能隐敝非对称加密的数据信息基本模式,在某种意义

上可以避免数据信息窜改,例如非对称加密组的重放,置入和全部删除等,安全系数高。缺陷:没

法并行处理,使用性能相对性ECB低,会发生不正确传递(errorpropbluation)。
 
 
渗透测试实例
 
在1次互联网金融行业的安全漏洞挖掘全过程中,从发现post请求和回到数据文件全过程数据加

密。咱们该怎样攻克数据文件数据加密,并自动化技术暴力破解密码登录。再次深层挖掘发现产

生越权安全漏洞,最后获得很多帐户敏感性数据。
 
 
分享: