0x02 加密

　　我們之前定義了加密，并且詳細(xì)說明了它是提供機(jī)密性，但不提供完整性和真實(shí)性的。你可以篡改加密信息，并將產(chǎn)生的垃圾給予接收者。而且你甚至可以利用這種垃圾產(chǎn)生機(jī)制，來繞過安全控制。

　　考慮在加密cookie的情況下，有如下代碼：

　　function setUnsafeCookie($name, $cookieData, $key)

　　{

　　$iv = mcrypt_create_iv(16, MCRYPT_DEV_URANDOM);

　　return setcookie(

　　$name,

　　base64_encode(

　　$iv.

　　mcrypt_encrypt(

　　MCRYPT_RIJNDAEL_128,

　　$key,

　　json_encode($cookieData),

　　MCRYPT_MODE_CBC,

　　$iv

　　)

　　)

　　);

　　}

　　function getUnsafeCookie($name, $key)

　　{

　　if (!isset($_COOKIE[$name])) {

　　return null;

　　}

　　$decoded = base64_decode($_COOKIE[$name]);

　　$iv = mb_substr($decoded, 0, 16, '8bit');

　　$ciphertext = mb_substr($decoded, 16, null, '8bit');

　　$decrypted = rtrim(

　　mcrypt_decrypt(

　　MCRYPT_RIJNDAEL_128,

　　$key,

　　$ciphertext,

　　MCRYPT_MODE_CBC,

　　$iv

　　),

　　"

學(xué)習(xí)啦>學(xué)習(xí)電腦>網(wǎng)絡(luò)知識>網(wǎng)絡(luò)技術(shù)>

如何正確地使用加密與認(rèn)證技術(shù)(2)

時(shí)間：2015-07-25 15:19:38 恒輝636由 分享

　　0x02 加密

　　我們之前定義了加密，并且詳細(xì)說明了它是提供機(jī)密性，但不提供完整性和真實(shí)性的。你可以篡改加密信息，并將產(chǎn)生的垃圾給予接收者。而且你甚至可以利用這種垃圾產(chǎn)生機(jī)制，來繞過安全控制。

　　考慮在加密cookie的情況下，有如下代碼：

　　function setUnsafeCookie($name, $cookieData, $key)

　　{

　　$iv = mcrypt_create_iv(16, MCRYPT_DEV_URANDOM);

　　return setcookie(

　　$name,

　　base64_encode(

　　$iv.

　　mcrypt_encrypt(

　　MCRYPT_RIJNDAEL_128,

　　$key,

　　json_encode($cookieData),

　　MCRYPT_MODE_CBC,

　　$iv

　　)

　　)

　　);

　　}

　　function getUnsafeCookie($name, $key)

　　{

　　if (!isset($_COOKIE[$name])) {

　　return null;

　　}

　　$decoded = base64_decode($_COOKIE[$name]);

　　$iv = mb_substr($decoded, 0, 16, '8bit');

　　$ciphertext = mb_substr($decoded, 16, null, '8bit');

　　$decrypted = rtrim(

　　mcrypt_decrypt(

　　MCRYPT_RIJNDAEL_128,

　　$key,

　　$ciphertext,

　　MCRYPT_MODE_CBC,

　　$iv

　　),

　　"

"

　　);

　　return json_decode($decrypted, true);

　　}

　　上面的代碼提供了在密碼段鏈接模塊的AES加密，如果你傳入32字節(jié)的字符串作為$key，你甚至可以聲稱，為你的cookie提供了256位的AES加密，然后人們可能被誤導(dǎo)相信它是安全的。

• 共6頁:
• 上一頁
• 1
• 2
• 3
• 4
• 5
• 6
• 下一頁

如何正確地使用加密與認(rèn)證技術(shù)(2)

0x02 加密 我們之前定義了加密，并且詳細(xì)說明了它是提供機(jī)密性，但不提供完整性和真實(shí)性的。你可以篡改加密信息，并將產(chǎn)生的垃圾給予接收者。而且你

推薦度：

點(diǎn)擊下載文檔文檔為doc格式

相關(guān)文章

• 07-18 中國現(xiàn)代教育論文
• 07-18 框架式技術(shù)服務(wù)協(xié)議范本
• 07-15 體育教師專業(yè)技術(shù)工作總結(jié)范文
• 07-15 全省質(zhì)量技術(shù)監(jiān)督工作會議上的講話
• 07-15 全區(qū)質(zhì)量技術(shù)監(jiān)督工作會議講話稿
• 07-14 高級工程師建筑工程專業(yè)技術(shù)工作總結(jié)
• 07-14 煤礦技術(shù)員轉(zhuǎn)正自我鑒定書
• 07-14 光纖傳感技術(shù)論文
• 07-13 計(jì)算機(jī)技術(shù)員崗位的主要職責(zé)
• 07-13 網(wǎng)絡(luò)技術(shù)員的崗位職責(zé)

熱門文章

售后技術(shù)員的崗位職責(zé) 電腦技術(shù)員崗位的主要職責(zé) 專業(yè)技術(shù)員的崗位職責(zé) 標(biāo)準(zhǔn)版軟件技術(shù)服務(wù)合同 技術(shù)總監(jiān)的工作職責(zé) 浙江省技術(shù)秘密保護(hù)辦法 在全市質(zhì)量技術(shù)監(jiān)督工作會議上領(lǐng)導(dǎo)的講話 高新技術(shù)企業(yè)管理辦法 云計(jì)算網(wǎng)絡(luò)技術(shù)探究論文 生產(chǎn)技術(shù)部的部門職責(zé)