网站安全之密码明文传输漏洞

1. 说明问题

相信关注笔者的读者应该有看过笔者之前写过的一篇文章——《keytool的用法》.这篇博客是介绍了如何生成系统使用的证书。而这个证书是在https中使用的，对于https的地址我们不用担心密码在传输时出现漏洞，也就是被别人强制性拦截然后获取。它在传输时是会加密的。但是对于http的协议就没那么好了，如果你不做一些工作的话，密码在传输的时候，很容易被拦截工具拦截，然后就可以看到密码。比如，我们登录的用户与密码，我们是使用http协议的，那么测试时就可以使用相关的工具，拦截访问的地址，工具就可以显示出用户名与密码。这样的话，问题就会很严重，攻击都就可以轻松拿下你的系统了。为了防止这个问题，我们就需要为系统的登录信息做些加密处理。

2. 处理问题

我们可以使用开源框架提供的加密与解决的方法来处理。如果读者有兴趣的话，可以自己去查找，这里读者就不介绍了。这里要介绍的是如何自己写个加解密的方法来实现。

对于Web的系统，我们要的是前端对用户的登录信息进行加密，这样在传输的时候即使被拦截也只能看到拦截的加密后的信息。同时，我们也需要在后端对传输来的信息进行解密。所以我们需要两个文件，一个是jsp的，一个是java的。

3. 代码实现

对于项目中应该怎么处理，读者自己根据实际情况去处理。这里笔者只能给测试的代码，希望对读者可以起到作用吧。

package com.owen..util;
import java.io.BufferedOutputStream;
import java.io.FileOutputStream;
import java.security.Key;
import javax.crypto.Cipher;
import javax.crypto.KeyGenerator;
import javax.crypto.SecretKey;
import javax.crypto.SecretKeyFactory;
import javax.crypto.spec.DESedeKeySpec;import com.sun.org.apache.xml.internal.security.utils.Base64;/*** DESede对称加密算法演示* * @author zolly* */
public class DESedeCoder {/*** 密钥算法* */public static final String KEY_ALGORITHM = "DESede";/*** 加密/解密算法/工作模式/填充方式* */public static final String CIPHER_ALGORITHM = "DESede/ECB/PKCS5Padding";/*** * 生成密钥* * @return byte[] 二进制密钥* */public static byte[] initkey() throws Exception {// 实例化密钥生成器KeyGenerator kg = KeyGenerator.getInstance(KEY_ALGORITHM);// 初始化密钥生成器kg.init(168);// 生成密钥SecretKey secretKey = kg.generateKey();// 获取二进制密钥编码形式byte[] key = secretKey.getEncoded();BufferedOutputStream keystream = new BufferedOutputStream(new FileOutputStream("DESedeKey.dat"));keystream.write(key, 0, key.length);keystream.flush();keystream.close();return key;}/*** 转换密钥* * @param key*            二进制密钥* @return Key 密钥* */public static Key toKey(byte[] key) throws Exception {// 实例化Des密钥DESedeKeySpec dks = new DESedeKeySpec(key);// 实例化密钥工厂SecretKeyFactory keyFactory = SecretKeyFactory.getInstance(KEY_ALGORITHM);// 生成密钥SecretKey secretKey = keyFactory.generateSecret(dks);return secretKey;}/*** 加密数据* * @param data*            待加密数据* @param key*            密钥* @return byte[] 加密后的数据* */public static byte[] encrypt(byte[] data, byte[] key) throws Exception {// 还原密钥Key k = toKey(key);// 实例化Cipher cipher = Cipher.getInstance(CIPHER_ALGORITHM);// 初始化，设置为加密模式cipher.init(Cipher.ENCRYPT_MODE, k);// 执行操作return cipher.doFinal(data);}/*** 解密数据* * @param data*            待解密数据* @param key*            密钥* @return byte[] 解密后的数据* */public static byte[] decrypt(byte[] data, byte[] key) throws Exception {// 欢迎密钥Key k = toKey(key);// 实例化Cipher cipher = Cipher.getInstance(CIPHER_ALGORITHM);// 初始化，设置为解密模式cipher.init(Cipher.DECRYPT_MODE, k);// 执行操作return cipher.doFinal(data);}/*** 进行加解密的测试* * @throws Exception*/public static void main(String[] args) throws Exception {String str = "DESede";System.out.println("原文：" + str);// 初始化密钥byte[] key = DESedeCoder.initkey();System.out.println("密钥：" + Base64.encode(key));// 加密数据byte[] data = DESedeCoder.encrypt(str.getBytes(), key);System.out.println("加密后：" + Base64.encode(data));// 解密数据data = DESedeCoder.decrypt(data, key);System.out.println("解密后：" + new String(data));}
}

说明:由于公司的保密性，给出的代码并非笔者项目中使用的。读者只要知道这个算法就行了，知道有这么一回事就行了。