hi 大家好.
我用 crypto-js 在客户端加密:
function encrypt(str) {
var key = $.cookie('key');
var encrypted = CryptoJS.TripleDES.encrypt(str, key, {mode: CryptoJS.mode.ECB, padding: CryptoJS.pad.ZeroPadding});
return encrypted;
}
服务端:
$decrypt = mcrypt_decrypt (MCRYPT_3DES, $_SESSION['key'], $encrypted_str_from_client, MCRYPT_MODE_ECB); print ($decrypt);
这样子无法解密.
请问大家有没有办法做到在客户端 用3DES ECB模式加密,后端能够解密的?
回复内容:
hi 大家好.
我用 crypto-js 在客户端加密:
function encrypt(str) {
var key = $.cookie('key');
var encrypted = CryptoJS.TripleDES.encrypt(str, key, {mode: CryptoJS.mode.ECB, padding: CryptoJS.pad.ZeroPadding});
return encrypted;
}
服务端:
$decrypt = mcrypt_decrypt (MCRYPT_3DES, $_SESSION['key'], $encrypted_str_from_client, MCRYPT_MODE_ECB); print ($decrypt);
这样子无法解密.
请问大家有没有办法做到在客户端 用3DES ECB模式加密,后端能够解密的?
<?php session_start();
/** PBKDF2 Implementation (as described in RFC 2898);
*
* @param string p password
* @param string s salt
* @param int c iteration count (use 1000 or higher)
* @param int kl derived key length
* @param string a hash algorithm
*
* @return string derived key
*/
function pbkdf2_helper_for_javascript( $p, $s, $c, $kl, $a = 'sha256' ) {
$hl = strlen( hash( $a, null, true ) );
$kb = ceil( $kl / $hl );
$dk = '';
for ( $block = 1; $block <= $kb; $block++ ) {
$ib = $b = hash_hmac( $a, $s . pack( 'N', $block ), $p, true );
for ( $i = 1; $i < $c; $i++ ) {
$ib ^= ( $b = hash_hmac( $a, $b, $p, true ) );
}
$dk .= $ib;
}
return substr( $dk, 0, $kl );
}
function dectypt_from_javascript_encrypt($dectypted_str, $callback = null) {
$salt = $_SESSION['password_salt'];
$secret_key = $_SESSION['password_secret'];
//get the cipher key
$key = pbkdf2_helper_for_javascript( $secret_key, $salt, 1000, 32 );
//get the IV
$iv64 = $_REQUEST['iv'];
$iv = base64_decode($iv64);
//get the HMAC
$hmac = $_REQUEST['hmac'];
# initialise mcrypt. NB Rijndael-128 covers all variants of AES
$td = mcrypt_module_open( MCRYPT_RIJNDAEL_128, '', MCRYPT_MODE_NOFB, '' );
# do encryption
$input = base64_decode($dectypted_str);
mcrypt_generic_init($td, $key, $iv);
$plain = mdecrypt_generic($td, $input);
mcrypt_generic_deinit($td);
# shutdown mcrypt
mcrypt_module_close($td);
# create HMAC for message
$hmacActual = hash_hmac('sha256', $plain, $iv);
if($hmac == $hmacActual) {
if ($callback && is_callable($callback)) {
$callback('success', $plain);
}
} else {
//解密失败,提示提醒用户
$callback('error', null);
}
//session 用完后清除
$_SESSION['password_secret'] = null;
}
if ($user = @$_POST['user'] && $password = @$_POST['password']) {
dectypt_from_javascript_encrypt($_POST['password'], function ($status, $password) {
print $password;
});
}
// 每次发生请求,生成一次key用来解密.
$key = uniqid();
//发送到客户端cookie
setcookie("password_secret", $key, 0);
setcookie("password_salt", "tuding_salt");
//并且保存到session用来后续的解密
$_SESSION['password_secret'] = $key;
$_SESSION['password_salt'] = 'tuding_salt';
?>
<meta charset="utf-8">
<script type="text/javascript" src="https://ajax.googleapis.com/ajax/libs/jquery/1.8.2/jquery.min.js"></script>
<script type="text/javascript" src="http://crypto-js.googlecode.com/files/2.5.3-crypto.js"></script>
<script type="text/javascript" src="http://crypto-js.googlecode.com/files/2.5.3-sha256.js"></script>
<script type="text/javascript" src="http://crypto-js.googlecode.com/files/2.3.0-hmac.js"></script>
<script type="text/javascript" src="http://crypto-js.googlecode.com/files/2.3.0-pbkdf2.js"></script>
<script type="text/javascript" src="http://crypto-js.googlecode.com/files/2.3.0-aes.js"></script>
<script type="text/javascript" src="http://crypto-js.googlecode.com/files/2.5.3-blockmodes.js"></script>
<script type="text/javascript">
function doEncrypt(message) {
var secret = $.cookie('password_secret');
var salt = $.cookie('password_salt');
var bytes_iv = Crypto.util.randomBytes(16);
var base64_iv = Crypto.util.bytesToBase64(bytes_iv);
var hmac = Crypto.HMAC(Crypto.SHA256, message, bytes_iv);
var key = Crypto.PBKDF2(secret, salt, 32, {hasher:Crypto.SHA256, iterations:1000, asBytes:true});
var cipher =Crypto.AES.encrypt(message, key, {iv:bytes_iv, mode:new Crypto.mode.OFB, asBytes:false});
return {iv: base64_iv, hmac: hmac, cipher: cipher};
}
$(document).ready(function () {
$('#submit').click(function () {
var user = $('input[name="user"]').val();
var pwd = $('input[name="password"]').val();
try {
var encrypt_pwd = doEncrypt(pwd);
$('input[name="hmac"]').val(encrypt_pwd['hmac']);
$('input[name="password"]').val(encrypt_pwd['cipher']);
$('input[name="iv"]').val(encrypt_pwd['iv']);
}
catch (exception) {
//TODO:
}
});
});
</script>
如何防止会话固定攻击?Apr 28, 2025 am 12:25 AM防止会话固定攻击的有效方法包括:1.在用户登录后重新生成会话ID;2.使用安全的会话ID生成算法;3.实施会话超时机制;4.使用HTTPS加密会话数据,这些措施能确保应用在面对会话固定攻击时坚不可摧。
您如何实施无会话身份验证?Apr 28, 2025 am 12:24 AM实现无会话身份验证可以通过使用JSONWebTokens(JWT)来实现,这是一种基于令牌的认证系统,所有的必要信息都存储在令牌中,无需服务器端会话存储。1)使用JWT生成和验证令牌,2)确保使用HTTPS防止令牌被截获,3)在客户端安全存储令牌,4)在服务器端验证令牌以防篡改,5)实现令牌撤销机制,如使用短期访问令牌和长期刷新令牌。
PHP会议有哪些常见的安全风险?Apr 28, 2025 am 12:24 AMPHP会话的安全风险主要包括会话劫持、会话固定、会话预测和会话中毒。1.会话劫持可以通过使用HTTPS和保护cookie来防范。2.会话固定可以通过在用户登录前重新生成会话ID来避免。3.会话预测需要确保会话ID的随机性和不可预测性。4.会话中毒可以通过对会话数据进行验证和过滤来预防。
您如何销毁PHP会议?Apr 28, 2025 am 12:16 AM销毁PHP会话需要先启动会话,然后清除数据并销毁会话文件。1.使用session_start()启动会话。2.用session_unset()清除会话数据。3.最后用session_destroy()销毁会话文件,确保数据安全和资源释放。
如何更改PHP中的默认会话保存路径?Apr 28, 2025 am 12:12 AM如何改变PHP的默认会话保存路径?可以通过以下步骤实现:在PHP脚本中使用session_save_path('/var/www/sessions');session_start();设置会话保存路径。在php.ini文件中设置session.save_path="/var/www/sessions"来全局改变会话保存路径。使用Memcached或Redis存储会话数据,如ini_set('session.save_handler','memcached');ini_set(
您如何修改PHP会话中存储的数据?Apr 27, 2025 am 12:23 AMtomodifyDataNaphPsession,startTheSessionWithSession_start(),然后使用$ _sessionToset,修改,orremovevariables.1)startThesession.2)setthesession.2)使用$ _session.3)setormodifysessessvariables.3)emovervariableswithunset()
举一个在PHP会话中存储数组的示例。Apr 27, 2025 am 12:20 AM在PHP会话中可以存储数组。1.启动会话,使用session_start()。2.创建数组并存储在$_SESSION中。3.通过$_SESSION检索数组。4.优化会话数据以提升性能。
垃圾收集如何用于PHP会议?Apr 27, 2025 am 12:19 AMPHP会话垃圾回收通过概率机制触发,清理过期会话数据。1)配置文件中设置触发概率和会话生命周期;2)可使用cron任务优化高负载应用;3)需平衡垃圾回收频率与性能,避免数据丢失。
热AI工具
Undresser.AI Undress
人工智能驱动的应用程序,用于创建逼真的裸体照片
AI Clothes Remover
用于从照片中去除衣服的在线人工智能工具。
Undress AI Tool
免费脱衣服图片
Clothoff.io
AI脱衣机
Video Face Swap
使用我们完全免费的人工智能换脸工具轻松在任何视频中换脸!
热门文章
热工具
DVWA
Damn Vulnerable Web App (DVWA) 是一个PHP/MySQL的Web应用程序,非常容易受到攻击。它的主要目标是成为安全专业人员在合法环境中测试自己的技能和工具的辅助工具,帮助Web开发人员更好地理解保护Web应用程序的过程,并帮助教师/学生在课堂环境中教授/学习Web应用程序安全。DVWA的目标是通过简单直接的界面练习一些最常见的Web漏洞,难度各不相同。请注意,该软件中
EditPlus 中文破解版
体积小,语法高亮,不支持代码提示功能
MinGW - 适用于 Windows 的极简 GNU
这个项目正在迁移到osdn.net/projects/mingw的过程中,你可以继续在那里关注我们。MinGW:GNU编译器集合(GCC)的本地Windows移植版本,可自由分发的导入库和用于构建本地Windows应用程序的头文件;包括对MSVC运行时的扩展,以支持C99功能。MinGW的所有软件都可以在64位Windows平台上运行。
SecLists
SecLists是最终安全测试人员的伙伴。它是一个包含各种类型列表的集合,这些列表在安全评估过程中经常使用,都在一个地方。SecLists通过方便地提供安全测试人员可能需要的所有列表,帮助提高安全测试的效率和生产力。列表类型包括用户名、密码、URL、模糊测试有效载荷、敏感数据模式、Web shell等等。测试人员只需将此存储库拉到新的测试机上,他就可以访问到所需的每种类型的列表。
记事本++7.3.1
好用且免费的代码编辑器
