频道栏目
读书频道 > web开发 > 其他综合 > 代码审计:企业级Web代码安全架构
2.3.3 编码转换及加解密工具
2015-11-27 15:51:19     我来说两句
收藏   我要投稿
本书共分为三个部分。第一部分为代码审计前的准备,包括第1~2章,第1章详细介绍代码审计前需要了解的PHP核心配置文件以及PHP环境搭建的方法;第2章介绍学习PHP代码审计需要准备的工具,以及这些工具的详细使用方  立即去当当网订购

代码审计必然要接触到编码相关的知识,历史上很多高危的漏洞是由编码问题导致的,比如在XSS漏洞中可以利用浏览器对不同编码的支持来绕过过滤触发漏洞,另外我们也经常需要用到不同的编码转码来进行模糊测试漏洞。另外是加解密以及Hash算法,在代码审计中,我们经常遇到程序对特定字符进行加密或者Hash后用作Cookie和Session,或者是用户密码的保存通常也会加密,所以我们必须要了解常用的加解密方式,在后面会详细列举常见加解密方式及原理,这里就不详细介绍。下面笔者推荐几款编码转换和加解密的工具。

1. Seay代码审计系统自带的编码功能

主界面菜单栏点击“正则编码”即可打开该功能,目前支持Md5算法、URL、Base64、Hex、ASCII、Unicode多种常用编码方式转换。另外还针对MySQL与MSSQL注入等做利用格式做针对性处理,主界面如图2-29所示。
 

 

2. Burp Suite上有一个Decoder功能

这个功能可对字符串进行编码和解码,支持百分号、Base64、ASCII等多种编码转换,还支持Md2、Md5、Sha系列等Hash算法。它的使用也非常简单,只需要输入要转换要的字符,选择需要转换成的编码即可,如图2-30所示。


 

3.超级加解密转换工具

另外介绍一个专门用来加解密的国产小工具,支持的算法比较多,独立的exe文件轻巧干净,在百度搜索“超级加解密转换工具”即可找到这款小软件,使用界面如图2-31所示。


 

加密:使用的时候只要在软件右侧的“方法分类选择” 中选择加密方式,在“明文”输入框中输入需要“加密”的字符串,点击“加密”即可在“密文”框中看到加密后的结果。

解密:使用的时候只要在软件右侧的“方法分类选择” 中选择解密方式,在“密文”输入框中输入需要解密的字符串,点击“解密”即可在“明文”框中看到解密后的结果。

您对本文章有什么意见或着疑问吗?请到论坛讨论您的关注和建议是我们前行的参考和动力  
上一篇:2.3.2 浏览器扩展
下一篇:2.3.4 正则调试工具
相关文章
图文推荐
排行
热门
最新书评
特别推荐

关于我们 | 联系我们 | 广告服务 | 投资合作 | 版权申明 | 在线帮助 | 网站地图 | 作品发布 | Vip技术培训 | 举报中心

版权所有: 红黑联盟--致力于做实用的IT技术学习网站