第 9天：算法逆向 散列对称/非对称 js源码逆向 AES DES（对称加密算法） REA SHA（哈希）

emm特意看了一下markdown的语法......

1.单向散列加密-MD5（有密文即可，但有复杂的明文可能解不出)

也叫 哈希算法 散列函数
将任意长度的输入数据（明文），通过特定算法转换为固定长度、无法逆向还原的输出数据（哈希值 / 散列值 / 消息摘要）
单向散列加密算法的优点有(以MD5为例):方便存储，损耗低对加密/加密对于性能的损耗微乎其微。
单向散列加密的缺点就是存在暴力破解的可能性，最好通过加盐值就是随机加一个字符串，让它（MD5后）变为另一个的方式来提高安全性，此外可能存在散列冲突。
我们都知道MD5加密也是可以破解的。常见的单向散列加密算法有:MD5 SHA MACCRCI

2.对称加密 -AES

对称加密优点是算法公开、计算量小、加密速度快、加密效率高。
缺点是发送方和接收方必须商定好密钥，然后使双方都能保存好密钥，密钥管理成为双方的负担。
常见的对称加密算法有:MD5 SHA MAC CRC
解密需求:密文,模式,加密Key,偏移量,条件满足才可解出

3.非对称加密-RSA

非对称加密的优点是与对称加密相比，安全性更好，加解密需要不同的密钥，公钥和私钥都可进行相互的加解密。
缺点是加密和解密花费时间长、速度慢，只适合对少量数据进行加密。
常见的非对称加密算法:RSA RSA2 PKCS
解密需求:密文加上公钥/ 私钥 全部即可解出

公钥 私钥

公加只能私解，私加只能公解：
公加 是「用公钥加密数据」，目的是保密；
私加是「用私钥生成签名」，目的是认证，而非保密

区分一下：

——————————————————————————————————————
可以看一下列子：

大概在后端哪里

md5_encode --- base64_encode/base64_decode---
aes_ecb_encrypt
des_ecb_encrypt ---- rsa_encrypt/rsa_sign

安全测试中：密文 — 有源码直接看源码分析算法（后端必须要有源码才能彻底知道）

密文 ——— 没有源码 1、猜识别 2、 看前端 js（加密逻辑不是在前端)

总结：猜，看源码，看JS，下课！

漏洞测试 → 代码能否逆向 → 逆向识别算法类型 → 类型决定测试条件与方向

1. 先判断场景：前端代码必然可逆向，后端代码需看是否有源码或二进制文件。
2. 再通过逆向工具分析，明确加密算法的具体类型和细节。
3. 最后根据算法类型，确定测试所需的条件（如获取密钥、公钥），并针对性地开展漏洞测试。
   图片.png