个人中心
文章发布
退出
作者热门文章
- html - 出于某种原因,IE8 对我的 Sass 文件中继承的 html5 CSS 不友好?
- JMeter 在响应断言中使用 span 标签的问题
- html - 在 :hover and :active? 上具有不同效果的 CSS 动画
- html - 相对于居中的 html 内容固定的 CSS 重复背景?
24
4
我在解密以 %3D%3D 结尾的值时遇到问题。解密后,我得到一个完全难以辨认的返回值。加密值通过查询字符串传递,但我运行了一个循环测试值 0 到 200 以排除 url 编码问题。
加解密函数:
function encryptValue($encrypt) {
$key = variable_get_local("privateKey", $default = "");
$iv = mcrypt_create_iv(mcrypt_get_iv_size(MCRYPT_RIJNDAEL_256, MCRYPT_MODE_ECB), MCRYPT_RAND);
$passcrypt = trim(mcrypt_encrypt(MCRYPT_RIJNDAEL_256, $key, trim($encrypt), MCRYPT_MODE_ECB, $iv));
$encode = urlencode(base64_encode($passcrypt));
return $encode;
}
function decryptValue($decrypt) {
$key = variable_get_local("privateKey", $default = "");
$decoded = base64_decode(urldecode($decrypt));
$iv = mcrypt_create_iv(mcrypt_get_iv_size(MCRYPT_RIJNDAEL_256, MCRYPT_MODE_ECB), MCRYPT_RAND);
$decrypted = trim(mcrypt_decrypt(MCRYPT_RIJNDAEL_256, $key, trim($decoded), MCRYPT_MODE_ECB, $iv));
return $decrypted;
}
我已经尝试在加密和解密过程中保持相同的 iv 值,但这不会改变输出。我也尝试删除 trim($decoded) 周围的 trim() 但这也没有改变任何东西。
以下是我用来识别问题的内容。在 0 到 200 之间,加密将产生 9 次以 %3D%3D 结尾的值,并导致解密失败。
for($i=0;$i<200;$i++) {
echo encryptValue($i) . "<br/>";
echo decryptValue(encryptValue($i)) . "<br/><hr/>";
}
感谢阅读。
最佳答案
以下是当前脚本中的一些观察结果:
CBCMCRYPT_RAND 与 rand 相同,参见 str_shuffle and randomness改用 MCRYPT_DEV_URANDOM HMAC加密+身份验证来防止oracle填充攻击Zend\Crypt 而不是创建自己的库,因为您不是安全专家示例:
// Encription Key
$encryptionKey = mcrypt_create_iv(16, MCRYPT_DEV_URANDOM); // Stored securely
// Signature Key
$signatureKey = mcrypt_create_iv(16, MCRYPT_DEV_URANDOM); // Stored securely
// Start DataEncryption Object
$obj = new DataEncryption($encryptionKey, $signatureKey);
$obj->setEncoding(DataEncryption::ENCODE_BASE64);
// Test
for($i = 0; $i < 200; $i ++) {
printf("%s = %s\n", $encode = $obj->encrypt($i), $obj->decrypt($encode));
}
输出
eSCknmsoMHY2oo5lpW3NpQhDigs4+Fw8aObeIhK+wPyUImQbvlh/aUrW = 0
qFswb3VO5+Foi4kjVn6s5lpZbiWgdKmfObh37/xjPyqB4ZFfAXNUeYYX = 1
WKG0BCKUxOXWU6S3YJ/dNL46Lcn7lt+ihG4tEoZuORDoJXSjz6Vrcepn = 2
K24QqkGYC86btzGQ5HKKMewVhiEIdKOajpgLx8SMKVKfCwlOJlbRwpaz = 3
0DbJycPZ24FOAhQrhQJmgMsP0p2nFzYUlFVOFlbQ8zhLTXkcdnNOhVfi = 4
l7saQG2BTPAZR2EnYjxfNmTxEBBaAh+n9+8eOCITDGzEVShw9wOxP7Pt = 5
eUhvvHJOFsy6ZaBu40XgU+N5VtuFBesRVx0ryfManIXva5y7J0ShiKcE = 6
TaX+172N60X1UTVmMWYcdcn7YzN7xoAOVEPpaD7r1pE3OtX5Erg4nja8 = 7
0LM3W0pkQ73IsmqAgRiQvqL0/rdkk7YvuwcVwoe1NI+qZo7Jq8gyFIvn = 8
....
38m8fEoUhoTyPPBukg3KVhrmwVDyVCcnWx/5erAslUDzEP7Bddzj5y8Y = 196
Dwi6t7sX30bxjbVXMKCWEZs0FxTUZM4IPHKR3VD6kygi7op0Q6ARCZJW = 197
TJ/faDaIuE0mDPHmGar1BeIyAnfVD0Z47ZtCcHjz5AZzaQ1YWH8kF1bU = 198
FYh+8Kts4ubVvTT5o0vZYfKC+8ExhpD5pWgHK3EhvGWkcPwKerSIvkK0 = 199
使用的类
class DataEncryption {
private $keyEncryption;
private $keySignature;
private $ivSize;
private $cipher = MCRYPT_RIJNDAEL_128;
private $mode = MCRYPT_MODE_CBC;
private $signatureLength = 10;
private $encoding = 2; // I prefer hex
const ENCODE_BASE64 = 1;
const ENCODE_HEX = 2;
function __construct($encryptionKey = null, $signatureKey = null) {
// Set Keys
$this->keyEncryption = empty($encryptionKey) ? mcrypt_create_iv(32, MCRYPT_DEV_URANDOM) : $encryptionKey;
$this->keySignature = empty($signatureKey) ? mcrypt_create_iv(32, MCRYPT_DEV_URANDOM) : $signatureKey;
// Get IV Size
$this->ivSize = mcrypt_get_iv_size($this->cipher, $this->mode);
}
public function getKeys() {
return array(
"encryption" => $this->keyEncryption,
"signature" => $this->keySignature
);
}
public function setMode($mode) {
$this->mode = $mode;
}
public function setCipher($cipher) {
$this->cipher = $cipher;
}
public function setEncoding($encode) {
$this->encoding = $encode;
}
public function encrypt($data) {
// add PKCS7 padding to data
$block = mcrypt_get_block_size($this->cipher, $this->mode);
$pad = $block - (strlen($data) % $block);
$data .= str_repeat(chr($pad), $pad);
$iv = $this->rand($this->ivSize);
$cipherData = mcrypt_encrypt($this->cipher, $this->keyEncryption, $data, $this->mode, $iv);
$finalData = $iv . $cipherData;
// protected against padding oracle attacks
$finalData = $this->sign($finalData) . $finalData;
return $this->encode($finalData);
}
public function decrypt($data) {
$data = $this->decode($data);
// Check Integrity
if (! $this->check($data)) {
return false;
}
$data = substr($data, $this->signatureLength);
// Break Data
$iv = substr($data, 0, $this->ivSize);
$cipherData = substr($data, $this->ivSize);
$data = mcrypt_decrypt($this->cipher, $this->keyEncryption, $cipherData, $this->mode, $iv);
// Remove PKCS7 padding
$block = mcrypt_get_block_size($this->cipher, $this->mode);
$pad = ord($data[($len = strlen($data)) - 1]);
// $data = rtrim($data, "\0..\32");
return substr($data, 0, $len - $pad);
}
public function encode($data) {
return $this->encoding === self::ENCODE_BASE64 ? base64_encode($data) : bin2hex($data);
}
public function decode($data) {
return $this->encoding === self::ENCODE_BASE64 ? base64_decode($data) : pack("H*", $data);
}
public function sign($data) {
$hash = hash_hmac('sha256', $data, $this->keySignature, true);
return substr($hash, 0, $this->signatureLength);
}
public function check($data) {
$signature = substr($data, 0, $this->signatureLength);
$data = substr($data, $this->signatureLength);
$hash = hash_hmac('sha256', $data, $this->keySignature, true);
// return $signature === substr($hash, 0, $this->signatureLength);
return $this->compare($signature, substr($hash, 0, $this->signatureLength));
}
public function rand($no) {
return mcrypt_create_iv($no, MCRYPT_DEV_URANDOM);
}
/**
* Prevent Timing Attacks
* @param string $a
* @param string $b
* @return boolean
*/
public function compare($a, $b) {
if (strlen($a) !== strlen($b)) {
return false;
}
$result = 0;
for($i = 0; $i < strlen($a); $i ++) {
$result |= ord($a[$i]) ^ ord($b[$i]);
}
return $result == 0;
}
}
关于某些带有 trim() 的字符串的 PHP 解密失败,我们在Stack Overflow上找到一个类似的问题: https://stackoverflow.com/questions/16518795/
24
4
0
我在使用以下代码时遇到问题: function http_file_exists($url){ $f=fopen($url,"r"); if($f){ fclose($f); retu
我已经通过 Git 部署到 Azure 几个月了,没有出现重大问题,但现在我似乎遇到了一个无法克服的错误。 我创建了一个新的 Azure 网站,为正在开发的项目创建单独的预览链接。我在新站点上设置了
我已经通过flutter创建了一个App并完成了它,我想在flutter文档中阅读时进行部署。 我收到此错误: FAILURE: Build failed with an exception. * W
我在Windows 10中使用一些简单的Powershell代码遇到了这个奇怪的问题,我认为这可能是我做错了,但我不是Powershell的天才。 我有这个: $ix = [System.Net.Dn
我正在尝试使用 RapidJSON 解析从服务器接收到的数据。以下是收到的确切字符串: [ { "Node": "9478149a08f9", "Address": "172.17
我尝试为 ios 编译 OpenCV。我总是收到这些错误。我用不同版本的opencv试了一下,结果都是一样的。 我运行这个:python 平台/ios/build_framework.py ios_o
我在一台机器上做基本的发布/订阅,我的客户端是 StackExchange-Redis 的 C# 客户端,我在同一台机器上运行基于 Windows 的 Redis 服务器(服务器版本 2.8.4) 当
我有这段代码,但无法执行,请帮我解决这个问题 连接 connect_error) { die ("connection failed: " . $terhubung->connect_erro
我在 tomcat 上运行并由 maven 编译的 Web 应用程序给出了以下警告和错误。我可以在本地存储库中看到所有 JAR,但有人可以帮忙吗。 WARNING: Failed to scan JA
我正在 Windows 8 上使用 Android Studio 开发一个 android 应用程序,我正在使用一些 native 代码。突然间我无法编译我的 C 文件。当我运行 ndk-build
下面的代码对类和结构的成员进行序列化和反序列化。序列化工作正常,但我在尝试使用 oarch >> BOOST_SERIALIZATION_NVP(outObj); 反序列化时遇到了以下错误; 代码中是
如果我运行此命令“rspec ./spec/requests/api/v1/password_reset_request_spec.rb”,此文件中的所有测试都会通过。 但是,当我运行“rspec”时
我在尝试执行测试以使用 Protractor 上传文件时出错,我的代码是这个 it('it should be possible to upload a file', function() {
System.loadLibrary("nativefaceswap"); 当我运行我的应用程序时,我在 Android Studio 中发现了此类错误。在logcat中显示: java.lang.U
我希望有人能帮助我!使用任何方法或命令行的任何 SSL/HTTPS 调用均无效。 我在 Windows 10 中使用 Ubuntu Server 18.04 作为子系统。我的问题是昨天才开始出现的,因
通过删除这两个值将日期字段从 null=True 和 Blank=True 更改为 required 时,使用 db.alter 命令时遇到问题。 当以下行被注释掉时,迁移运行不会出现问题。
我第一次使用 Heroku 尝试创建应用程序(使用 SendGrid 的 Inbound Parse Webhook"和 Twilio SMS 通过电子邮件发送和接收 SMS 消息)。通过 Virtu
我正在将我的 swift 项目更新到 Xcode 7 上的 Swift 2.0。xcode 在构建项目时报告了以下错误: 命令/Applications/Xcode.app/Contents/Deve
在我的代码中,SSL 库函数 SSL_library_init() 没有按预期返回 1。我如何才能看到它返回了什么错误? 我在 SSL_library_init() 之后调用了 SSL_load_er
我正在尝试运行在以下链接中找到的答案: Asynchronously Load the Contents of a Div 但是当我这样做时,我会遇到我不太理解的错误。 我的代码: $(documen
我是一名优秀的程序员,十分优秀!