什么2007做视频网站,网站推广公司有哪些,西宁做网站是什么,软件公司排名100强前言#xff1a;
本文主要讲解#xff0c;针对前端加密数据传输站点#xff0c;如何进行动态调试以获取加密算法、秘钥#xff0c;本次实验不涉及漏洞挖掘#xff0c;仅为学习演示#xff0c;环境为本地搭建环境
此次站点加密方式为AES加密方式#xff0c;现如今越来越…前言
本文主要讲解针对前端加密数据传输站点如何进行动态调试以获取加密算法、秘钥本次实验不涉及漏洞挖掘仅为学习演示环境为本地搭建环境
此次站点加密方式为AES加密方式现如今越来越多的站点使用前端数据加密或AES、或RSA、或SM2/SM4(国产替代RSA)或干脆进行签名校验导致安全测试测试成本提高不少也将很多不熟悉加密测试的测试人员拒之门外而关于前端调试的文章总是少之又少懂的人又总是含糊其辞本篇文章将以最快的速度、最笨的方式教会大家如何进行快速定位加密函数
首先我们观看下图下图password字段为加密字段 打开浏览器的F12进行开发者调试重新登录一次而后查看网络选项 这么老多先随便打一个断点试试直接点击右侧蓝色链接会自动跳转到关键点位然后直接打断点即可 而后需要重新点击登录按钮可以发现会话会直接在断点处停止而后返回控制台在控制台可以输入字符串或函数来查验结果 大家可以看到此时断点并没有直接打到加密之前的位置那么此时就需要往前打断点由于函数被处理过所以需要多打几个断点进行推测 再次调试芜湖看到了明文和密文在一起了 那么结果显而易见je(ot);关键函数这里面有事儿啊二话不说直接加一个断点重新调试需要注意的是这次不能F10了直接F9 F9可以直接进入到这个函数此时还是明文的 继续F9 不用看了直接拿下key 此处结束本次实验采取的是静态硬编码秘钥AES加密实际上现在大多数的站点加密方式已经改用动态秘钥的AES配合RSA对站点进行加密了而RSA是不可逆的非对称性加密若是遇到这种站点即便是拿到了公钥也很难通过Burpsuite进行测试了毕竟现在市面上似乎没有那种多种加密配合的插件而写插件的难度无疑是很高啊但是如果每个接口都写脚本的话那无疑会增加测试时间和成本所以如果遇到这种情况该如何解决呢让我们带着疑问期待下期AESRSA加密的案例吧
