【第8天】算法分析(传输加密&数据格式&密文存储&代码混淆&逆向保护) | 您所在的位置:网站首页 › 逆向分析教程 › 【第8天】算法分析(传输加密&数据格式&密文存储&代码混淆&逆向保护) |
内容介绍
今天主要讲解内容: 常见网站在数据传输过程中的加密,例如(网址url加载中使用base64、md5等加密) 网站数据交互过程中的加密,例如(博客登录过程中对账号密码的加密) 常见的数据加载,例如(动态加载数据的过程中使用的,明码&JSON&XML等格式) 网站数据加密,例如(前端js加密,后端php等脚本语言的加密、混淆) 为什么要了解数据传输过程是否使用加密?对方服务器可能会在接受的时候进行解码在带入 如果我们还是按照原有思路不对自己的Payload进行同样编码的话 传入过去的东西就是不认识的东西 测试无效 正确:测试的话也要进行payload同样的加密或编码进行提交 安全测试漏洞时候 通常都会进行数据的修改增加提交测试 以数据的正确格式发送 接受才行 如果现在我要进行密码的破解爆破字典文件: 帐号什么都不用更改 去替换username=值即可 密码需要进行密码算法 保证和password=值同等加密才行 1.常见加密编码进制等算法解析MD5,SHA,ASC,进制,时间戳,URL,BASE64,Unescape,AES,DES等 2.常见加密编码形式算法解析直接加密,带salt,带密码,带偏移,带位数,带模式,带干扰,自定义组合等 3.常见解密解码方式(针对)枚举,自定义逆向算法,可逆向 4.常见加密解码算法的特性长度位数,字符规律,代码分析,搜索获取等 #本课意义: 1.了解加密编码进制在安全测试中的存在 2.掌握常见的加密解密编码解码进制互转的操作 3.了解常见的加密解密编码解密进制互转的影响 识别算法编码方法: 1、看密文位数 2、看密文的特征(数字,字母,大小写,符号等) 3、看当前密文存在的地方(Web,数据库,操作系统等应用) #拓展补充参考资料: -传输数据编码: BASE64 URL HEX ASCIIBASE64值是由数字”0-9″和字母”a-f”所组成的字符串,大小写敏感,结尾通常有符号= URL编码是由数字”0-9″和字母”a-f”所组成的字符串,大小写敏感,通常以%数字字母间隔 HEX编码是计算机中数据的一种表示方法,将数据进行十六进制转换,它由0-9,A-F,组成 ASCII编码是将128个字符进行进制数来表示,常见ASCII码表大小规则:0~9 |
CopyRight 2018-2019 实验室设备网 版权所有 |