0ctDay/encrypt-decrypt-vuls
1
0
Fork 0
Code Issues Pull Requests Actions Packages Projects Releases Wiki Activity
119 Commits 1 Branch 0 Tags
master
Go to file
Clone
Open with VS Code Open with VSCodium Open with Intellij IDEA
Download ZIP Download TAR.GZ Download BUNDLE
Octday 5d1817b68b Update README.md
2024-05-16 14:37:48 +08:00
gateway
github
2024-05-16 10:54:20 +08:00
library
github
2024-05-16 12:04:03 +08:00
nginx
new
2024-05-15 17:01:32 +08:00
vue
github
2024-05-16 11:53:37 +08:00
.gitignore
new
2024-05-09 18:08:42 +08:00
.gitlab-ci.yml
new
2024-05-15 16:29:33 +08:00
docker-compose.yml
github
2024-05-15 22:19:19 +08:00
library.sql
new
2024-05-15 15:02:22 +08:00
pom.xml
github
2024-05-15 23:44:22 +08:00
README.md
Update README.md
2024-05-16 14:37:48 +08:00

README.md

加解密逻辑漏洞的靶场

苦于找不到现成的, 所以自己写了一个

靶场环境使用了经典的图书管理系统稍作修改, 并增加了几处逻辑漏洞

漏洞都很简单, 重点是对抗加解密

架构:

图书管理系统: springboot + vue

加解密网关: springcloud gateway

数据库: mysql + redis

网关: nginx

加解密方式:

  1. 请求体加密 默认使用的是AES-128 可以根据实际需求修改
  2. RequestId 为了防止重放攻击, 客户端生成随机RequestId 服务端接收后保存至Redis中, 如果再次接收到此RequestID, 则视为非法请求
  3. 时间戳 添加时间戳的超时时间, 一旦超时, 原始数据包失效
  4. 签名 将 requestId + 原始请求体 + 时间戳 合并生成哈希值 从而保证以上参数的有效性

具体的 加解密类

后端 :

gateway --- utils/AESUtil image

前端

vue --- utils/request.js image

示例:

http://39.98.108.20:8085/

image

Build:

前端:

前端已经有构建好的 在vue/html1 文件夹中, 不会构建的可以不需要构建

后端:

在项目根目录运行:

mvn clean package

Run:

推荐docker运行

docker build -t library-service ./library
docker build -t gateway-service ./gateway

docker-compose up -d

图书管理系统引用: https://github.com/XinChennn/xc016-library-system

Description
No description provided
Readme 8.1 MiB
Languages
JavaScript 96.7%
Vue 1.8%
Java 1.4%
HTML 0.1%