公司的系统应用后,客户那边用appscan工具检测到严重的漏洞

1.使用 SQL 注入的认证旁路 (1/2)--未对用户输入正确执行危险字符清理

2.已解密的登录请求 (2/2)----诸如用户名、密码和信用卡号之类的敏感输入字段未经加密即进行了传递

解决思路:

1. 因为密码设置时只允许输入字母和数字,所以在用户登录前用JS检查输入的内容是否符合只包含字母和数字,这样就防止了SQL的注入。

2. 被检测出来的原因是密码在后台以明文接收,容易被人获取。于是想如果在登录前用JS把它进行加密,然后再在后台解密出来,是否可解决此问题呢。

于是在网上查询到下面JS前台base32加密,C#后台解码的方法。

JS 加密方法:

var getEncodeString = function(srcString) {

    //var srcString = 'abc';

    var BASE32CHAR = "ABCDEFGHIJKLMNOPQRSTUVWXYZ234567";

    var i = 0;

    var index = 0;

    var digit = 0;

    var currByte;

    var nextByte;

    var retrunString = '';

    for (var i = 0; i < srcString.length; ) {

        //var          index    = 0;

        currByte = (srcString.charCodeAt(i) >= 0) ? srcString.charCodeAt(i)

                                : (srcString.charCodeAt(i) + 256);

        if (index > 3) {

            if ((i + 1) < srcString.length) {

                nextByte = (srcString.charCodeAt(i + 1) >= 0)

                                            ? srcString.charCodeAt(i + 1)

                                            : (srcString.charCodeAt(i + 1) + 256);

            } else {

                nextByte = 0;

            }

            digit = currByte & (0xFF >> index);

            index = (index + 5) % 8;

            digit <<= index;

            digit |= (nextByte >> (8 - index));

            i++;

        } else {

            digit = (currByte >> (8 - (index + 5))) & 0x1F;

            index = (index + 5) % 8;

            if (index == 0) {

                i++;

            }

        }

        retrunString = retrunString + BASE32CHAR.charAt(digit);

    }

    return retrunString.toLowerCase();

}

JS调用代码:

// 判断输入是否是一个由 0-9 / A-Z / a-z 组成的字符串

        function isalphanumber(str)

        {

            var result=str.match(/^[a-zA-Z0-9]+$/);

            if(result==null)

            {

                return false;

            }

            else

            {

                return true;

            }

        }

        //base32加密

        function CheckAndEncode() {

            var pwd = document.getElementById('txtPwd');

            if (!isalphanumber(pwd.value)) {

                alert("密码只能输入字母和数字!");

                pwd.value = "";

                pwd.focus();

                return false;

            }

            var s1 = pwd.value;

            var s2 = escape(s1);

            pwd.value = getEncodeString(s2);

        }

后台转码代码:

/// <summary>

        /// BASE32解码

        /// </summary>

        /// <param name="encodeString"></param>

        /// <returns></returns>

        private string getDecodeString(string encodeString)

        {

            int i;

            int index;

            int lookup;

            int offset;

            int digit;

            string en_string = encodeString.ToUpper();

            int[] BASE32LOOOKUP = new int[]{

               0xFF, 0xFF, 0x1A, 0x1B, 0x1C, 0x1D, 0x1E, 0x1F, // '0', '1', '2', '3', '4', '5', '6', '7'

               0xFF, 0xFF, 0xFF, 0xFF, 0xFF, 0xFF, 0xFF, 0xFF, // '8', '9', ':', ';', '<', '=', '>', '?'

               0xFF, 0x00, 0x01, 0x02, 0x03, 0x04, 0x05, 0x06, // '@', 'A', 'B', 'C', 'D', 'E', 'F', 'G'

               0x07, 0x08, 0x09, 0x0A, 0x0B, 0x0C, 0x0D, 0x0E, // 'H', 'I', 'J', 'K', 'L', 'M', 'N', 'O'

               0x0F, 0x10, 0x11, 0x12, 0x13, 0x14, 0x15, 0x16, // 'P', 'Q', 'R', 'S', 'T', 'U', 'V', 'W'

               0x17, 0x18, 0x19, 0xFF, 0xFF, 0xFF, 0xFF, 0xFF, // 'X', 'Y', 'Z', '[', '\', ']', '^', '_'

               0xFF, 0x00, 0x01, 0x02, 0x03, 0x04, 0x05, 0x06, // '`', 'a', 'b', 'c', 'd', 'e', 'f', 'g'

               0x07, 0x08, 0x09, 0x0A, 0x0B, 0x0C, 0x0D, 0x0E, // 'h', 'i', 'j', 'k', 'l', 'm', 'n', 'o'

               0x0F, 0x10, 0x11, 0x12, 0x13, 0x14, 0x15, 0x16, // 'p', 'q', 'r', 's', 't', 'u', 'v', 'w'

               0x17, 0x18, 0x19, 0xFF, 0xFF, 0xFF, 0xFF,0xFF

               };

            int stringLen = ((en_string.Length * ) / );

            int[] bytes = new int[stringLen];

            for (var a = ; a < stringLen; a++)

            {

                bytes[a] = ;

            }

            for (i = , index = , offset = ; i < en_string.Length; i++)

            {

                var charCode0 = (short)'';

                lookup = (short)en_string[i] - charCode0;

                if ((lookup < ) || (lookup >= BASE32LOOOKUP.Length))

                {

                    continue;

                }

                digit = BASE32LOOOKUP[lookup];

                if (digit == 0xFF)

                {

                    continue;

                }

                if (index <= )

                {

                    index = (index + ) % ;

                    if (index == )

                    {

                        bytes[offset] = bytes[offset] | digit;

                        offset++;

                        if (offset >= bytes.Length)

                        {

                            break;

                        }

                    }

                    else

                    {

                        bytes[offset] = bytes[offset] | (digit << ( - index));

                    }

                }

                else

                {

                    index = (index + ) % ;

                    bytes[offset] = bytes[offset] | (digit >> index);

                    offset++;

                    if (offset >= bytes.Length)

                    {

                        break;

                    }

                    bytes[offset] = bytes[offset] | (digit << ( - index));

                    if (bytes[offset] >= )

                    {

                        bytes[offset] %= ;

                    }

                }

            }

            string realkeyString = "";

            for (var a = ; a < bytes.Length; a++)

            {

                var realkey = (char)bytes[a];

                realkeyString += realkey;

            }

            return realkeyString;

        }

后台调用转码获取明文:

string pwd="";

pwd=getDecodeString(txtPwd.Text.Trim());

可是等我做完以上改动之后,再用ibm appscan检测,漏洞依然没减少,郁闷啊 。。。我的一天

本文主要内容转载自 http://wwwluo.blog.163.com/blog/static/6129023120110710427826/

JS前台base32加密,C#后台解码的更多相关文章

  1. js 转码 和 .Net 后台解码

    为防止 中文乱码,js传值要转码,当js 用 escape() 转码时,.Net 后台可以用 HttpUtility.UrlDecode() 进行解码. 例如:   document.cookie = ...

  2. JS base64 加密和 后台 base64解密(防止中文乱码)

    直接上代码 1,js(2个文件,网上找的)  不要觉的长,直接复制下来就OK //UnicodeAnsi.js文件 //把Unicode转成Ansi和把Ansi转换成Unicode function ...

  3. AES加密解密——AES在JavaWeb项目中前台JS加密,后台Java解密的使用

    一:前言 在软件开发中,经常要对数据进行传输,数据在传输的过程中可能被拦截,被监听,所以在传输数据的时候使用数据的原始内容进行传输的话,安全隐患是非常大的.因此就要对需要传输的数据进行在客户端进行加密 ...

  4. js前台加密,java后台解密实现

    参考资料: JS前台加密,java后台解密实现

  5. Base64 JAVA后台编码与JS前台解码(解决中文乱码问题)

    中文通过Java后台进行Base64编码后传到前台,通过JS进行Base64解码时会出现中文乱码的问题,被这个问题也是困扰了几天,使用jquery.base64.js只能转码非中文字符,经过搜集各种方 ...

  6. rsa实现js前台加密java后台解密

    前段时间写了一个rsa前台加密到后台用java解密,下面共享下实现思路: 准备工作:第三方包是必须的 bcprov-jdk15on-148.jar commons-codec-1.7.jar comm ...

  7. js前台编码,asp.net后台解码 防止前台传值到后台为乱码

    js编码:     encodeURI() 后台解码:HttpUtility.UrlDecode()

  8. js base64加密,后台解密

    这是为了解决页面发送post请求,传输密码,在页面的控制台可以看到密码的明文,所以先用base64把要传输的密码转换为非明文,然后在后台解密处理. base64encode.js // base64加 ...

  9. Js编码和Java后台解码

    1.java.将resultMsg 转为utf-8 (1) resultMsg = URLEncoder.encode(resultMsg, "utf-8"); (2) new S ...

随机推荐

  1. 判断iframe是否加载完成的完美方法

    var iframe = document.createElement("iframe"); iframe.src = "http://www.jb51.net" ...

  2. Android studio下gradle Robolectric单元测试配置

    android studio下gradle Robolectric单元测试配置 1.Robolectric Robolectric是一个基于junit之上的单元测试框架.它并不依赖于Android提供 ...

  3. SAP验证

    需求:财务录费用凭证,检查科目6601001-6601999 & 成本中心为1000R001 - 1000R999,工单不能为空 GGB0 1.选择财务凭证->行项目->新建确认' ...

  4. icon-font与svg

    icon font 使用与svg应用分享 icon font 字体概述 css3增加了@font-face属性,传统的浏览器是通过font-family来设置字体,如果系统里没有的话就用其它字体来代替 ...

  5. 无废话SharePoint入门教程三[创建网站集和网站]

    一.前言 前两篇文章讲解了什么是SharePoint,并且介绍了在SharePoint中一些常用的概念.但概念终究是概念,我们还是要脚踏实地的去动手实践.下面的文章对于了解SharePoint的人来说 ...

  6. 利用innodb_force_recovery 解决WAMP MySQL服务器无法正常启动的问题

    有次公司突然断电,导致wamp mysql无法重启 二 分析    初步估计是mysql日志损坏问题,从日志内容分析来看,数据库在机器crash 导致日志文件损坏,重启之后无法正常恢复,更无法正常对外 ...

  7. URL优化之IIS7如何开启伪静态

    iis7跟IIS6开启伪静态重写的方式不一样,iis6是在网站属性里面的ISAPI筛选器里面添加,但是iis7添加伪静态重写,需要下载一个url重写插件. II7/7.5用的是web.config配置 ...

  8. batchInsert xml 配置 ibatis

    <insert id="tops_visa_openapi_jvisaproduct.batchinsert" parameterClass="java.util. ...

  9. AJAX需要注意的

    当你写好了与数据库连接的时候,例如这段代码:xmlHttp.open("GET","check.php?user="+url,true); 你不要认为你段代码就 ...

  10. c语言基础表达式, 关系运算符, 逻辑运算符, 位运算符, 数据的取值范围, 分支结构(if...else, switch...case)

    1.表达式: 表达式的判断是有无结果(值), 最简单的表达式是一个常量或变量, 如:12, a, 3 + 1, a + b, a + 5 都是表达式 2.BOOL(布尔)数据类型: c语言中除了基本数 ...