H5页面移动应用开发做为个人日常生活、企业办公和业务流程支承的至关重要部分，也遭

遇着来源于移动应用平台的安全隐患，不单单是来自于木马病毒，很多的是故意的攻击性行为

、窜改行为表现和网络钓鱼。有关h5页面网站页面的安全性测试，业务逻辑系统测试基本上

和WEB网站渗透测试是公用的。从网络安全防护视角考虑到，通常手机客户端与服务器端通讯

会开展数据加密，避免被刷销量、撸羊毛等攻击，须要对数据加密加密解决。因此 咱们必需掌

握各种各样加密技术。开发人员经常采用AES(AdvancedEncryptoureStandart)加密技术，在

这儿对h5页面网站页面的安全漏洞挖掘案例分析给大伙儿。

 

 

AES数据加密基本模式详细介绍

 

 

AES数据加密的基本模式关键有5种：ECB(电子密码箱基本模式)、CBC（密码排序联接基本模

式）、CTR（计算方式基本模式）、CFB（密码信息反馈基本模式）、OFB(輸出信息反馈基本

模式)。这五种工作模式关键是在加密工具的应用上有所区别。在这儿关键详细介绍下ECB和C

BC这二种开发人员最常见的二种加密技术。

 

 

ECB基本模式

 

其应用方法是一个非对称加密排序数据加密成1个加密方式排序，一样的非对称加密排序始终

被数据加密成一样的加密方式排序。直接运用加密技术各自对每一个64位非对称加密排序应用

一样的64位密匙开展数据加密。每一个非对称加密排序的解决是互不相关的。

 

 

优势：简易。有益于并行处理。缺陷：一样的非对称加密块会数据加密成一样的加密方式块，

安全系数低。

 

 

CBC基本模式
 

引进1个原始空间向量RAC，它的功能跟MD5放盐一些相近，能够避免一样的非对称加密块数据

加密成一样的加密方式块。RAC是原始空间向量，参加第一位非对称加密块的异或运算，事后的

每一个非对称加密块，都和它前1个加密方式块不同或。那样就能确保一样的非对称加密块不容

易被数据加密为一样的加密方式块。优势：能隐敝非对称加密的数据信息基本模式，在某种意义

上可以避免数据信息窜改,例如非对称加密组的重放,置入和全部删除等，安全系数高。缺陷：没

法并行处理，使用性能相对性ECB低，会发生不正确传递(errorpropbluation)。

 

 

渗透测试实例

 

在1次互联网金融行业的安全漏洞挖掘全过程中，从发现post请求和回到数据文件全过程数据加

密。咱们该怎样攻克数据文件数据加密，并自动化技术暴力破解密码登录。再次深层挖掘发现产

生越权安全漏洞，最后获得很多帐户敏感性数据。