原文地址: 【BUG】url 参数 AES 加密和解密问题
欢迎访问我的博客: http://blog.duhbb.com/
引言
bug 复盘, 让你少写 bug!
今天分析的是一个 url 参数加密解密的问题, 原因破坏了加密后的字符串导致解密失败.
参数的加密解密
情况描述
url 有个参数是地址, 比如 http://www.hello.com/, 请求这个 url 的时候试图把最后的正斜杠给 trim 掉.
现在有个安全问题需要将这个地址参数给加密, 而加密后的字符串尾部可能出现 /.
所以处理这个问题的时候一定要注意:
- 加密之前可以 trim
- 加密之后的字符串不能再 trim 了, 否则加密的结果不完整
同理
- 解密之前的字符串是不能 trim 的
- 解密之后的字符串可以 trim 的
为什么一直没有暴露出这个问题呢?
原因是, 加密的盐值是用了日期, 导致 / 的出现是个概率问题, 摸不准那天就触发了这个雷了.
问题原因
如上, 就是因为解密的时候没有判断是否启用了加密, 而先去 trim 然后在解密, 会导致如果加密字符串尾部有 /, 最后解密的加密字符串是不对的.
正斜杠 / 需要转义吗?
Chrome + SpringBoot 测试
?a=/sdfsdf/sdfsf&b=/ 这种组合的话在 Spring 中是可以获取到带 / 的 a 和 b 的值的.
用 %2F 或者 %2f 的话也可以获取 / 参数, emmmmm.
算了, 不编码了 / 也能凑合用, 所以是 chrome 帮助我们编码了吗?
wget + SpringBoot 测试
wget http://192.168.213.161:8088/xxx/main.htm?a=/adsf/asdfsf/asdfasdf/也能收到正斜杠 /.
**粗体** _斜体_ [链接](http://example.com) `代码` - 列表 > 引用。你还可以使用@来通知其他用户。