首页 > 其他分享 >Web安全-渗透测试-基础知识06

Web安全-渗透测试-基础知识06

时间:2023-06-09 21:22:46浏览次数:48  
标签:Web 加密 URL 可逆 基础知识 SHA https 06 加密算法

加密编码算法

在渗透测试中,常见的密码等敏感信息会采用加密处理,其中作为安全测试人员必须要了解常见的加密方式,才能为后续的安全测试做好准备

加密算法的种类

加密算法分为可逆、不可逆加密算法,而不可逆加密算法又分为对称加密和非对称加密

  • 不可逆加密:不可逆加密算法最大的特点就是不需要密钥,但是HMAC是需要密钥的
    常见的不可逆加密算法有MD5,HMAC,SHA1、SHA-224、SHA-256、SHA-384,和SHA-512
    其中SHA-224、SHA-256、SHA-384,和SHA-512我们可以统称为SHA2加密算法
    SHA加密算法的安全性要比MD5更高,而SHA2加密算法比SHA1的要高
    其中SHA后面的数字表示的是加密后的字符串长度,SHA1默认会产生一个160位的信息摘要
    由于这些加密都是不可逆的,因此比较常用的场景就是用户密码加密,其验证过程就是通过比较两个加密后的字符串是否一样来确认身份的网上也有很多自称是可以破解MD5密码的网站,其原理也是一样,就是有一个巨大的资源库,存放了许多字符串及对应的MD5加密后的字符串,通过你输入的MD5加密串来进行比较,如果过你的密码复杂度比较低,还是有很大机率验证出来的,也就是枚举比对
  • 可逆加密:数据的加密和解密都需要使用秘钥操作
  1. 对称加密:常见的对称加密算法有DES、3DES、AES128、AES192、AES256
  2. 非对称加密 :常见的非对称加密有RSA、SM2,RS256 (采用SHA-256 的 RSA 签名)
  • Base64转码:把字符串转换成以==结尾的字符串,如:Z38cPD5XbiPZ41LKQmhZAw==
#常见加密编码等算法解析
MD5,SHA,ASC,进制,时间戳,URL,BASE64,Unescape,AES,DES等

#常见加密形式算法解析
直接加密,带salt,带密码,带偏移,带位数,带模式,带干扰,自定义组合等

#常见解密方式(针对)
枚举,自定义逆向算法,可逆向

#了解常规加密算法的特性
长度位数,字符规律,代码分析,搜索获取等

这里推荐一个超好用的解密网站:https://gchq.github.io/CyberChef/

各类加密算法的特点

  • md5
  1. 16位,32位
  2. 不可逆
  3. 网站后台常用密码加密算法
  4. 有加密形式,如带salt
    image
    不能只是简单的密码解密,需要带salt
    编码:salt
    image
  1. 一般是%U+四个数字对应着两个字符
  2. 主要运用于网站web应用
  • URL编码
  1. URL - 统一资源定位器,是网页的地址,如:https://www.cnblogs.com/azureWW/
  2. URL 编码将字符转换为可通过因特网传输的格式
  3. URL 只能使用 ASCII 字符集 通过因特网进行发送
  4. URL 编码使用后跟十六进制数字的 "%" 替代不安全的 ASCII 字符,如空格用%20代替
  • AES
  1. https://tool.lmeee.com/jiami/aes
    image
    包括加密模式,填充,密钥长度,密钥,偏移量,输出
  2. 加密结果和base64很像
    image
    如果在解密时base64行不通就可以试试aes,前提是要知道aes的相关信息
  • DES
  1. https://tool.lmeee.com/jiami/aes
    image
  2. 加密结果和base64很像
    image
    如果在解密时base64行不通就可以试试des,前提是要知道des的相关信息
  • 时间戳
  1. https://tool.lu/timestamp/
    image
    声明:本文只供参考学习,如有误导请纠正

标签:Web,加密,URL,可逆,基础知识,SHA,https,06,加密算法
From: https://www.cnblogs.com/azureWW/p/17470273.html

相关文章

  • 006Arch中Docker的基本使用---可视化界面(portainer)
    外链:Docker入门到实践(九)docker可视化界面portainer的安装与使用_零碎de記憶的博客-CSDN博客InstallPortainerBEwithDockeronWSL/DockerDesktop-PortainerDocumentation安装portainer查询前10个Portainer镜像dockersearchportainer--limit10拉取Po......
  • 【web 开发】生活中大家都喜欢搞模板来规范化操作,抽象类却玩不明白-PHP的抽象类
    前言生活中大家都喜欢定标准搞模板来规范化一系列流程,抽象类和接口却玩不明白,抽象类和接口相似,都是一种比较特殊的类,抽象类是一种特殊的类,而接口也是一种特殊的抽象类。他们通常配合面向对象的多态性一起使用。虽然声明和使用都比较容易,但他们的作用在理解上会稍微困难一点,接下来......
  • WebRTC回声消除示例(Android版)
    AndroidApp下载地址:https://gitcode.net/techinged/share/-/raw/master/android/echo_cancel/webrtc_echo_cancel(Android).zip或者https://kdocs.cn/l/ctpgZy0zRHbM1、将AndroidApp文件echo_cancel.apk安装到你的Android手机,Android版本要求在Android4.0(API14)或以上。安......
  • SpringMVC WebUploader 分片上传
    ​ 需求:项目要支持大文件上传功能,经过讨论,初步将文件上传大小控制在500G内,因此自己需要在项目中进行文件上传部分的调整和配置,自己将大小都以500G来进行限制。PC端全平台支持,要求支持Windows,Mac,Linux支持所有浏览器。支持文件批量上传支持文件夹上传,且要求在服务端保留层......
  • 高带宽pSRAM S27KS0643GABHV023/S27KS0643GABHA020(64Mbit)S27KS0643GABHA023 HyperRAM
    高带宽pSRAMS27KS0643GABHV023/S27KS0643GABHA020(64Mbit)S27KS0643GABHA023HyperRAM™存储器—明佳达供求产品说明:S27KS064364MbitHYPERRAM™器件是一种高速CMOS,自刷新DRAM,具有xSPI(Octal)接口。DRAM阵列使用需要定期刷新的动态单元。当内存没有被xSPI接口主(主机)主动读写......
  • jsp WebUploader 分片上传
    ​ 我们平时经常做的是上传文件,上传文件夹与上传文件类似,但也有一些不同之处,这次做了上传文件夹就记录下以备后用。首先我们需要了解的是上传文件三要素:1.表单提交方式:post(get方式提交有大小限制,post没有)2.表单的enctype属性:必须设置为multipart/form-data.3.表单必须......
  • Web API入门详解指南
    学习目标:掌握API和WebAPI的概念掌握常见浏览器提供的API的调用方式能通过WebAPI开发常见的页面交互功能能够利用搜索引擎解决问题typora-copy-images-to:mediaWebAPIWebAPI介绍API的概念API(ApplicationProgrammingInterface,应用程序编程接口)是一些预先定义的函数,目的是提......
  • c# WebUploader 分片上传
    ​IE的自带下载功能中没有断点续传功能,要实现断点续传功能,需要用到HTTP协议中鲜为人知的几个响应头和请求头。 一. 两个必要响应头Accept-Ranges、ETag        客户端每次提交下载请求时,服务端都要添加这两个响应头,以保证客户端和服务端将此下载识别为可以断点续传......
  • Qt+QtWebApp开发笔记(五):http服务器html中使用json触发ajax与后台交互实现数据更新传递
    前言  前面完成了页面的跳转、登录,很多时候不刷新页面就想刷新局部数据,此时ajax就是此种技术,且是异步的。  本篇实现网页内部使用js调用ajax实现异步交互数据。  在js中使用ajax是通过XMLHttpRequest来实现的。下载地址  链接:https://pan.baidu.com/s/1tJMTPhIIyVE40......
  • Tomcat中web.xml文件的详细说明
    2008年03月03日08:25:48Tomcat中web.xml文件的详细说明Tomcat中web.xml文件的详细说明<?xmlversion="1.0"encoding="GB2312"?><!--Web.xml依次定议了如下元素:<web-app><display-name></display-name>定义了WEB应用的名字<descript......