1. 程式人生 > >網站安全之密碼明文傳輸漏洞

網站安全之密碼明文傳輸漏洞

1.  說明問題

     相信關注筆者的讀者應該有看過筆者之前寫過的一篇文章——《keytool的用法》.這篇部落格是介紹瞭如何生成系統使用的證書。而這個證書是在https中使用的,對於https的地址我們不用擔心密碼在傳輸時出現漏洞,也就是被別人強制性攔截然後獲取。它在傳輸時是會加密的。但是對於http的協議就沒那麼好了,如果你不做一些工作的話,密碼在傳輸的時候,很容易被攔截工具攔截,然後就可以看到密碼。比如,我們登入的使用者與密碼,我們是使用http協議的,那麼測試時就可以使用相關的工具,攔截訪問的地址,工具就可以顯示出使用者名稱與密碼。這樣的話,問題就會很嚴重,攻擊都就可以輕鬆拿下你的系統了。為了防止這個問題,我們就需要為系統的登入資訊做些加密處理。

2.  處理問題

我們可以使用開源框架提供的加密與解決的方法來處理。如果讀者有興趣的話,可以自己去查詢,這裡讀者就不介紹了。這裡要介紹的是如何自己寫個加解密的方法來實現。

對於Web的系統,我們要的是前端對使用者的登入資訊進行加密,這樣在傳輸的時候即使被攔截也只能看到攔截的加密後的資訊。同時,我們也需要在後端對傳輸來的資訊進行解密。所以我們需要兩個檔案,一個是jsp的,一個是java的。

3.  程式碼實現

     對於專案中應該怎麼處理,讀者自己根據實際情況去處理。這裡筆者只能給測試的程式碼,希望對讀者可以起到作用吧。

package com.owen..util;
import java.io.BufferedOutputStream;
import java.io.FileOutputStream;
import java.security.Key;
import javax.crypto.Cipher;
import javax.crypto.KeyGenerator;
import javax.crypto.SecretKey;
import javax.crypto.SecretKeyFactory;
import javax.crypto.spec.DESedeKeySpec;

import com.sun.org.apache.xml.internal.security.utils.Base64;

/**
 * DESede對稱加密演算法演示
 * 
 * @author zolly
 * */
public class DESedeCoder {
    /**
     * 金鑰演算法
     * */
    public static final String KEY_ALGORITHM = "DESede";

    /**
     * 加密/解密演算法/工作模式/填充方式
     * */
    public static final String CIPHER_ALGORITHM = "DESede/ECB/PKCS5Padding";

    /**
     * 
     * 生成金鑰
     * 
     * @return byte[] 二進位制金鑰
     * */
    public static byte[] initkey() throws Exception {

        // 例項化金鑰生成器
        KeyGenerator kg = KeyGenerator.getInstance(KEY_ALGORITHM);
        // 初始化金鑰生成器
        kg.init(168);
        // 生成金鑰
        SecretKey secretKey = kg.generateKey();
        // 獲取二進位制金鑰編碼形式
        
        byte[] key = secretKey.getEncoded();
        BufferedOutputStream keystream = 
                new BufferedOutputStream(new FileOutputStream("DESedeKey.dat"));
        keystream.write(key, 0, key.length);
        keystream.flush();
        keystream.close();
        
        return key;
    }

    /**
     * 轉換金鑰
     * 
     * @param key
     *            二進位制金鑰
     * @return Key 金鑰
     * */
    public static Key toKey(byte[] key) throws Exception {
        // 例項化Des金鑰
        DESedeKeySpec dks = new DESedeKeySpec(key);
        // 例項化金鑰工廠
        SecretKeyFactory keyFactory = SecretKeyFactory
                .getInstance(KEY_ALGORITHM);
        // 生成金鑰
        SecretKey secretKey = keyFactory.generateSecret(dks);
        return secretKey;
    }

    /**
     * 加密資料
     * 
     * @param data
     *            待加密資料
     * @param key
     *            金鑰
     * @return byte[] 加密後的資料
     * */
    public static byte[] encrypt(byte[] data, byte[] key) throws Exception {
        // 還原金鑰
        Key k = toKey(key);
        // 例項化
        Cipher cipher = Cipher.getInstance(CIPHER_ALGORITHM);
        // 初始化,設定為加密模式
        cipher.init(Cipher.ENCRYPT_MODE, k);
        // 執行操作
        return cipher.doFinal(data);
    }

    /**
     * 解密資料
     * 
     * @param data
     *            待解密資料
     * @param key
     *            金鑰
     * @return byte[] 解密後的資料
     * */
    public static byte[] decrypt(byte[] data, byte[] key) throws Exception {
        // 歡迎金鑰
        Key k = toKey(key);
        // 例項化
        Cipher cipher = Cipher.getInstance(CIPHER_ALGORITHM);
        // 初始化,設定為解密模式
        cipher.init(Cipher.DECRYPT_MODE, k);
        // 執行操作
        return cipher.doFinal(data);
    }

    /**
     * 進行加解密的測試
     * 
     * @throws Exception
     */
    public static void main(String[] args) throws Exception {
        String str = "DESede";
        System.out.println("原文:" + str);
        // 初始化金鑰
        byte[] key = DESedeCoder.initkey();
        System.out.println("金鑰:" + Base64.encode(key));
        // 加密資料
        byte[] data = DESedeCoder.encrypt(str.getBytes(), key);
        System.out.println("加密後:" + Base64.encode(data));
        // 解密資料
        data = DESedeCoder.decrypt(data, key);
        System.out.println("解密後:" + new String(data));
    }
}

說明:由於公司的保密性,給出的程式碼並非筆者專案中使用的。讀者只要知道這個演算法就行了,知道有這麼一回事就行了。