公司的系统应用后,客户那边用appscan工具检测到严重的漏洞

1.使用 SQL 注入的认证旁路 (1/2)--未对用户输入正确执行危险字符清理

2.已解密的登录请求 (2/2)----诸如用户名、密码和信用卡号之类的敏感输入字段未经加密即进行了传递

解决思路:

1. 因为密码设置时只允许输入字母和数字,所以在用户登录前用JS检查输入的内容是否符合只包含字母和数字,这样就防止了SQL的注入。

2. 被检测出来的原因是密码在后台以明文接收,容易被人获取。于是想如果在登录前用JS把它进行加密,然后再在后台解密出来,是否可解决此问题呢。

于是在网上查询到下面JS前台base32加密,C#后台解码的方法。

JS 加密方法:

var getEncodeString = function(srcString) {

    //var srcString = 'abc';

    var BASE32CHAR = "ABCDEFGHIJKLMNOPQRSTUVWXYZ234567";

    var i = 0;

    var index = 0;

    var digit = 0;

    var currByte;

    var nextByte;

    var retrunString = '';

    for (var i = 0; i < srcString.length; ) {

        //var          index    = 0;

        currByte = (srcString.charCodeAt(i) >= 0) ? srcString.charCodeAt(i)

                                : (srcString.charCodeAt(i) + 256);

        if (index > 3) {

            if ((i + 1) < srcString.length) {

                nextByte = (srcString.charCodeAt(i + 1) >= 0)

                                            ? srcString.charCodeAt(i + 1)

                                            : (srcString.charCodeAt(i + 1) + 256);

            } else {

                nextByte = 0;

            }

            digit = currByte & (0xFF >> index);

            index = (index + 5) % 8;

            digit <<= index;

            digit |= (nextByte >> (8 - index));

            i++;

        } else {

            digit = (currByte >> (8 - (index + 5))) & 0x1F;

            index = (index + 5) % 8;

            if (index == 0) {

                i++;

            }

        }

        retrunString = retrunString + BASE32CHAR.charAt(digit);

    }

    return retrunString.toLowerCase();

}

JS调用代码:

// 判断输入是否是一个由 0-9 / A-Z / a-z 组成的字符串

        function isalphanumber(str)

        {

            var result=str.match(/^[a-zA-Z0-9]+$/);

            if(result==null)

            {

                return false;

            }

            else

            {

                return true;

            }

        }

        //base32加密

        function CheckAndEncode() {

            var pwd = document.getElementById('txtPwd');

            if (!isalphanumber(pwd.value)) {

                alert("密码只能输入字母和数字!");

                pwd.value = "";

                pwd.focus();

                return false;

            }

            var s1 = pwd.value;

            var s2 = escape(s1);

            pwd.value = getEncodeString(s2);

        }

后台转码代码:

/// <summary>

        /// BASE32解码

        /// </summary>

        /// <param name="encodeString"></param>

        /// <returns></returns>

        private string getDecodeString(string encodeString)

        {

            int i;

            int index;

            int lookup;

            int offset;

            int digit;

            string en_string = encodeString.ToUpper();

            int[] BASE32LOOOKUP = new int[]{

               0xFF, 0xFF, 0x1A, 0x1B, 0x1C, 0x1D, 0x1E, 0x1F, // '0', '1', '2', '3', '4', '5', '6', '7'

               0xFF, 0xFF, 0xFF, 0xFF, 0xFF, 0xFF, 0xFF, 0xFF, // '8', '9', ':', ';', '<', '=', '>', '?'

               0xFF, 0x00, 0x01, 0x02, 0x03, 0x04, 0x05, 0x06, // '@', 'A', 'B', 'C', 'D', 'E', 'F', 'G'

               0x07, 0x08, 0x09, 0x0A, 0x0B, 0x0C, 0x0D, 0x0E, // 'H', 'I', 'J', 'K', 'L', 'M', 'N', 'O'

               0x0F, 0x10, 0x11, 0x12, 0x13, 0x14, 0x15, 0x16, // 'P', 'Q', 'R', 'S', 'T', 'U', 'V', 'W'

               0x17, 0x18, 0x19, 0xFF, 0xFF, 0xFF, 0xFF, 0xFF, // 'X', 'Y', 'Z', '[', '\', ']', '^', '_'

               0xFF, 0x00, 0x01, 0x02, 0x03, 0x04, 0x05, 0x06, // '`', 'a', 'b', 'c', 'd', 'e', 'f', 'g'

               0x07, 0x08, 0x09, 0x0A, 0x0B, 0x0C, 0x0D, 0x0E, // 'h', 'i', 'j', 'k', 'l', 'm', 'n', 'o'

               0x0F, 0x10, 0x11, 0x12, 0x13, 0x14, 0x15, 0x16, // 'p', 'q', 'r', 's', 't', 'u', 'v', 'w'

               0x17, 0x18, 0x19, 0xFF, 0xFF, 0xFF, 0xFF,0xFF

               };

            int stringLen = ((en_string.Length * ) / );

            int[] bytes = new int[stringLen];

            for (var a = ; a < stringLen; a++)

            {

                bytes[a] = ;

            }

            for (i = , index = , offset = ; i < en_string.Length; i++)

            {

                var charCode0 = (short)'';

                lookup = (short)en_string[i] - charCode0;

                if ((lookup < ) || (lookup >= BASE32LOOOKUP.Length))

                {

                    continue;

                }

                digit = BASE32LOOOKUP[lookup];

                if (digit == 0xFF)

                {

                    continue;

                }

                if (index <= )

                {

                    index = (index + ) % ;

                    if (index == )

                    {

                        bytes[offset] = bytes[offset] | digit;

                        offset++;

                        if (offset >= bytes.Length)

                        {

                            break;

                        }

                    }

                    else

                    {

                        bytes[offset] = bytes[offset] | (digit << ( - index));

                    }

                }

                else

                {

                    index = (index + ) % ;

                    bytes[offset] = bytes[offset] | (digit >> index);

                    offset++;

                    if (offset >= bytes.Length)

                    {

                        break;

                    }

                    bytes[offset] = bytes[offset] | (digit << ( - index));

                    if (bytes[offset] >= )

                    {

                        bytes[offset] %= ;

                    }

                }

            }

            string realkeyString = "";

            for (var a = ; a < bytes.Length; a++)

            {

                var realkey = (char)bytes[a];

                realkeyString += realkey;

            }

            return realkeyString;

        }

后台调用转码获取明文:

string pwd="";

pwd=getDecodeString(txtPwd.Text.Trim());

可是等我做完以上改动之后,再用ibm appscan检测,漏洞依然没减少,郁闷啊 。。。我的一天

本文主要内容转载自 http://wwwluo.blog.163.com/blog/static/6129023120110710427826/

JS前台base32加密,C#后台解码的更多相关文章

  1. js 转码 和 .Net 后台解码

    为防止 中文乱码,js传值要转码,当js 用 escape() 转码时,.Net 后台可以用 HttpUtility.UrlDecode() 进行解码. 例如:   document.cookie = ...

  2. JS base64 加密和 后台 base64解密(防止中文乱码)

    直接上代码 1,js(2个文件,网上找的)  不要觉的长,直接复制下来就OK //UnicodeAnsi.js文件 //把Unicode转成Ansi和把Ansi转换成Unicode function ...

  3. AES加密解密——AES在JavaWeb项目中前台JS加密,后台Java解密的使用

    一:前言 在软件开发中,经常要对数据进行传输,数据在传输的过程中可能被拦截,被监听,所以在传输数据的时候使用数据的原始内容进行传输的话,安全隐患是非常大的.因此就要对需要传输的数据进行在客户端进行加密 ...

  4. js前台加密,java后台解密实现

    参考资料: JS前台加密,java后台解密实现

  5. Base64 JAVA后台编码与JS前台解码(解决中文乱码问题)

    中文通过Java后台进行Base64编码后传到前台,通过JS进行Base64解码时会出现中文乱码的问题,被这个问题也是困扰了几天,使用jquery.base64.js只能转码非中文字符,经过搜集各种方 ...

  6. rsa实现js前台加密java后台解密

    前段时间写了一个rsa前台加密到后台用java解密,下面共享下实现思路: 准备工作:第三方包是必须的 bcprov-jdk15on-148.jar commons-codec-1.7.jar comm ...

  7. js前台编码,asp.net后台解码 防止前台传值到后台为乱码

    js编码:     encodeURI() 后台解码:HttpUtility.UrlDecode()

  8. js base64加密,后台解密

    这是为了解决页面发送post请求,传输密码,在页面的控制台可以看到密码的明文,所以先用base64把要传输的密码转换为非明文,然后在后台解密处理. base64encode.js // base64加 ...

  9. Js编码和Java后台解码

    1.java.将resultMsg 转为utf-8 (1) resultMsg = URLEncoder.encode(resultMsg, "utf-8"); (2) new S ...

随机推荐

  1. 数据库大作业--由python+flask

    这个是项目一来是数据库大作业,另一方面也算是再对falsk和python熟悉下,好久不用会忘很快. 界面相比上一个项目好看很多,不过因为时间紧加上只有我一个人写,所以有很多地方逻辑写的比较繁琐,如果是 ...

  2. java中使用poi导入导出excel文件_并自定义日期格式

    Apache POI项目的使命是创造和保持java API操纵各种文件格式基于Office Open XML标准(OOXML)和微软的OLE复合文档格式(OLE2)2.总之,你可以读写Excel文件使 ...

  3. Bootstrap 表单

    表单布局 Bootstrap 提供了下列类型的表单布局: 垂直表单(默认) 内联表单 水平表单 垂直或基本表单 基本的表单结构是 Bootstrap 自带的,个别的表单控件自动接收一些全局样式.下面列 ...

  4. Python中的深浅拷贝

    1.什么是深浅拷贝? python中一切皆对象,python中的数字.字符串.元组等,如果存放在了内存中,这部分内存里面的内容是不会改变的,但是也有情况,内存中存放了可变对象,比如说列表和字典,他们的 ...

  5. eclipse打开文件或者目录位置

    1.点击Run-->External Tools-->External Tools Configurations... 右击program,点击new 2.填写名称,Location,Ar ...

  6. 满足NABC的软件创意

    创意——几个简单的想法 ——崔海营 创意一:               大学生自行车租借一点通 随着大学生人数的不断增多以及大学生活的空闲时间十分充裕,许多同学十分乐意到一些附近的景点去游玩或者烧烤 ...

  7. C# 数据类型

    1.整数类型:  int    只能 存储证书,不能存储小数. 2.小数类型: doubie 机能存储整数,也能存储小数,小数点后面的额 15-16位. 3.金钱类型: decimal:用来存储金钱, ...

  8. c++学习笔记2

    T: 1.默认实参只能声明一次:  设计含有默认实参的函数时,要合理设置形参的顺序 :局部变量不能作为默认实参 2.内联机制用于优化规模较小.流程直接.频繁调用的函数 3.constexpr函数  返 ...

  9. StormNimbus集群保证CAP流程

    Nimbus启动时,检查当前本地是不是有所有的topology的代码,同时去申请获取leader锁,如果某台nimbus节点成为了集群的leader,会再去检查一次当前本地的代码是不是包含所有活动状态 ...

  10. 一个有趣的回答(摘自http://www.51testing.com/html/03/n-860703.html)

    假设这有一个各种字母组成的字符串,假设这还有另外一个字符串,而且这个字符串里的字母数相对少一些.从算法上讲,什么方法能最快的查出所有小字符串里的字母在大字符串里都有? 比如,如果是下面两个字符串: S ...