某津市公共资源交易平台链接加密分析(基于CryptoJS)
某津市公共资源交易平台的链接加密做得还挺有意思的,前端用的是CryptoJS来搞 AES 加密。它直接在客户端做加密,响应快,代码也清爽,适合需要快速数据加密的 Web 场景。但你也得注意,密钥在前端出现,安全上得多留点心。
服务端要是你用 Python,那就推荐PyCryptodome,支持各种 AES 模式,还能配合抓包数据。比如平台用的是CBC模式,解密的时候记得好iv和填充方式,别一上来就直接解密,那容易出错。
你可以先通过浏览器抓下加密链接,再转成 Python 能理解的格式,像下面这样来解密:
from Crypto.Cipher import AES
cipher = AES.new(key, AES.MODE_CBC, iv)
plaintext = cipher.decrypt(ciphertext)解出来的内容还有点填充,比如\x04\x04\x04\x04这种,记得用 PKCS7 的方式去掉。整体思路不复杂,但得动动手实践下。
如果你也经常要前端加密逻辑,CryptoJS是个还蛮值得研究的工具,推荐几个相关的资源你可以看看:
哦对了,别人的加密逻辑,记得要合法合规,别拿来做灰产哈。如果你是为了学习安全技术,那就放开手去搞吧,动手最重要!
文件大小:2.28KB
评论区