網站安全之密碼明文傳輸漏洞
阿新 • • 發佈:2018-12-22
1. 說明問題
相信關注筆者的讀者應該有看過筆者之前寫過的一篇文章——《keytool的用法》.這篇部落格是介紹瞭如何生成系統使用的證書。而這個證書是在https中使用的,對於https的地址我們不用擔心密碼在傳輸時出現漏洞,也就是被別人強制性攔截然後獲取。它在傳輸時是會加密的。但是對於http的協議就沒那麼好了,如果你不做一些工作的話,密碼在傳輸的時候,很容易被攔截工具攔截,然後就可以看到密碼。比如,我們登入的使用者與密碼,我們是使用http協議的,那麼測試時就可以使用相關的工具,攔截訪問的地址,工具就可以顯示出使用者名稱與密碼。這樣的話,問題就會很嚴重,攻擊都就可以輕鬆拿下你的系統了。為了防止這個問題,我們就需要為系統的登入資訊做些加密處理。
2. 處理問題
我們可以使用開源框架提供的加密與解決的方法來處理。如果讀者有興趣的話,可以自己去查詢,這裡讀者就不介紹了。這裡要介紹的是如何自己寫個加解密的方法來實現。
對於Web的系統,我們要的是前端對使用者的登入資訊進行加密,這樣在傳輸的時候即使被攔截也只能看到攔截的加密後的資訊。同時,我們也需要在後端對傳輸來的資訊進行解密。所以我們需要兩個檔案,一個是jsp的,一個是java的。
3. 程式碼實現
對於專案中應該怎麼處理,讀者自己根據實際情況去處理。這裡筆者只能給測試的程式碼,希望對讀者可以起到作用吧。
package com.owen..util; import java.io.BufferedOutputStream; import java.io.FileOutputStream; import java.security.Key; import javax.crypto.Cipher; import javax.crypto.KeyGenerator; import javax.crypto.SecretKey; import javax.crypto.SecretKeyFactory; import javax.crypto.spec.DESedeKeySpec; import com.sun.org.apache.xml.internal.security.utils.Base64; /** * DESede對稱加密演算法演示 * * @author zolly * */ public class DESedeCoder { /** * 金鑰演算法 * */ public static final String KEY_ALGORITHM = "DESede"; /** * 加密/解密演算法/工作模式/填充方式 * */ public static final String CIPHER_ALGORITHM = "DESede/ECB/PKCS5Padding"; /** * * 生成金鑰 * * @return byte[] 二進位制金鑰 * */ public static byte[] initkey() throws Exception { // 例項化金鑰生成器 KeyGenerator kg = KeyGenerator.getInstance(KEY_ALGORITHM); // 初始化金鑰生成器 kg.init(168); // 生成金鑰 SecretKey secretKey = kg.generateKey(); // 獲取二進位制金鑰編碼形式 byte[] key = secretKey.getEncoded(); BufferedOutputStream keystream = new BufferedOutputStream(new FileOutputStream("DESedeKey.dat")); keystream.write(key, 0, key.length); keystream.flush(); keystream.close(); return key; } /** * 轉換金鑰 * * @param key * 二進位制金鑰 * @return Key 金鑰 * */ public static Key toKey(byte[] key) throws Exception { // 例項化Des金鑰 DESedeKeySpec dks = new DESedeKeySpec(key); // 例項化金鑰工廠 SecretKeyFactory keyFactory = SecretKeyFactory .getInstance(KEY_ALGORITHM); // 生成金鑰 SecretKey secretKey = keyFactory.generateSecret(dks); return secretKey; } /** * 加密資料 * * @param data * 待加密資料 * @param key * 金鑰 * @return byte[] 加密後的資料 * */ public static byte[] encrypt(byte[] data, byte[] key) throws Exception { // 還原金鑰 Key k = toKey(key); // 例項化 Cipher cipher = Cipher.getInstance(CIPHER_ALGORITHM); // 初始化,設定為加密模式 cipher.init(Cipher.ENCRYPT_MODE, k); // 執行操作 return cipher.doFinal(data); } /** * 解密資料 * * @param data * 待解密資料 * @param key * 金鑰 * @return byte[] 解密後的資料 * */ public static byte[] decrypt(byte[] data, byte[] key) throws Exception { // 歡迎金鑰 Key k = toKey(key); // 例項化 Cipher cipher = Cipher.getInstance(CIPHER_ALGORITHM); // 初始化,設定為解密模式 cipher.init(Cipher.DECRYPT_MODE, k); // 執行操作 return cipher.doFinal(data); } /** * 進行加解密的測試 * * @throws Exception */ public static void main(String[] args) throws Exception { String str = "DESede"; System.out.println("原文:" + str); // 初始化金鑰 byte[] key = DESedeCoder.initkey(); System.out.println("金鑰:" + Base64.encode(key)); // 加密資料 byte[] data = DESedeCoder.encrypt(str.getBytes(), key); System.out.println("加密後:" + Base64.encode(data)); // 解密資料 data = DESedeCoder.decrypt(data, key); System.out.println("解密後:" + new String(data)); } }
說明:由於公司的保密性,給出的程式碼並非筆者專案中使用的。讀者只要知道這個演算法就行了,知道有這麼一回事就行了。