内容简介:前段时间的酒店信息泄露事情,闹的沸沸扬扬!确实我们很多的数据在网络上都是裸奔,在数据库里面躺着也都是明文数据,连我自己的写某某程序都被热情的粉丝攻破!不如,我们用万能的Python写段加密数据传送玩玩,也许就能避免酒店数据泄漏了!上面是模拟简单的CS场景,算是很典型的socket交互场景,里面的用户名和密码都是明文传送的,相当不安全,我们用代码来演示一下。01.模拟客户端-服务端
前段时间的酒店信息泄露事情,闹的沸沸扬扬!确实我们很多的数据在网络上都是裸奔,在数据库里面躺着也都是明文数据,连我自己的写某某程序都被热情的粉丝攻破!不如,我们用万能的 Python 写段加密数据传送玩玩,也许就能避免酒店数据泄漏了!
-
简单的场景:
-
Server:Welcome
-
Client: Hi,I am 007 !
-
Server:Goog Monning 007.
-
Client: My password 1234!
-
Server:OK,Receiver your password.
上面是模拟简单的CS场景,算是很典型的socket交互场景,里面的用户名和密码都是明文传送的,相当不安全,我们用代码来演示一下。
01.模拟客户端-服务端
Python里面的库真的是非常多,只有你想不到。基本上你想要做的大部分事情都有现成的轮子,不用自己造,socket当然也有!
1).建立Server端
用socket模块建立一个套接字对象server,绑定本地的ip和端口,端口要用冷门的端口!
2).响应Client端的请求
服务端需要响应客户端的请求,我们从sock里面获取数据,然后再给client回应一段echo消息.
我们用一个死循环来不断的处理客户端的请求消息,这里为了简单处理,我们不做任何的数据分析,只是接受client的数据,然后从随机应答队列里面,挑一条消息发给客户端。(注意sock里面传送全部都是byte类型,需要做str和byte的转换)
3).响应多个Client的请求
为了更多更快的处理客户端的请求,我们这里用多线程来处理,来一个请求,我们来一个线程.
4).创建Client端
也是建立socket对象,创建client端,然后绑定本地地址和端口。
5).客户端发送数据给服务器
我们发送两条数据给服务器,一条是"我是007",一条是"我的密码1234"。
好,经过上面5步,基本上一个简单的socket通信代码就出来了。整个代码量不超过100行,我们简单运行一个看看什么效果:
服务器:
客服端:
那么问题来了,我们的用户名和密码都是明文传送的,有么有办法加密呢,当然有,初级加密登场!
02.初级加密
上面的步骤完成了一个client/server的通信,但是我们的重要信息都是明文,完全暴露了,稍微用一个小爬虫就能搞定你的数据,这样太不安全了,我们用Python里面的base64模块来加密一下,稍微伪装一下:
>>红色部分就是加密过的密文
raw msg: b'Hi,I am 007'
decode msg: b'SGksSSBhbSAwMDc='
restore msg: b'Hi,I am 007'
里面Python里面强大的base64这个模块,这个模块是一种查表的编码方式,可以简单的做一些加密, 比如我们输入"我是 007",就会变成一堆乱七八糟的字符在网上传送,然后我们服务器那边只要用base64解密即可 。
我们依葫芦画瓢也在我们刚才的socket通信例子上面加上加密部分decode_daya函数,然后传送数据即可!
服务器:
客服端:
看一下效果,我们的密码变成一堆蝌蚪文:
Rec Welcome Client!
Send>>: b'Hi Server,I am 007!(16:39:17)'
networking: b'SGkgU2VydmVyLEkgYW0gMDA3ISgxNjozOToxNyk='
Rec <<: Hi,Client:Good Morning(16:39:17)
Send>>: b'My password is 1234!(16:39:20)'
networking: b'TXkgcGFzc3dvcmQgaXMgMTIzNCEoMTY6Mzk6MjAp'
Rec <<: Hi,Client:Welcome(16:39:20)
03.神级加密
上面的初级加密只能防御一般的菜鸟,遇到高手, 要破解你的用户名,密码信息还是比较轻松的, 对方只要也用base64解密一下即可!不要慌, Python里面还有一个神级加密的库pycrypto ,这个是第三方库,非常牛逼。
这个库内容非常丰富,有很多加密的方法, 这里我们用AES高级加密标准 。AES的区块长度固定为128 比特,密钥长度则可以是128,192或256比特(16、24和32字节),我们用长度为16字节的来示例一下:
也就是说,你在网络上传送的数据是encrpy_data,即使×××截获你了数据,如果它没有密钥是无法解密的!就算他要暴力破解也很难,因为是128比特的字符,而且是双重密钥,难度非常大!
好了,以后你 有啥隐私数据,或者存在数据库里面的密码也可以用密钥加密存放 !如果没有key,除了你自己估计没有人等解析出来,哈哈!
以上就是本文的全部内容,希望对大家的学习有所帮助,也希望大家多多支持 码农网
猜你喜欢:
- 你可能过于高估了机器学习算法能力,带你解读鲜为人知的数据泄露问题
- 信息泄露 :不仅仅是数据,物理上的信息泄露也很重要
- Android内存泄露小结
- 如何查找内存泄露
- 实战Go内存泄露
- Goroutine 泄露排查
本站部分资源来源于网络,本站转载出于传递更多信息之目的,版权归原作者或者来源机构所有,如转载稿涉及版权问题,请联系我们。
Java Web整合开发王者归来
刘京华 / 清华大学 / 2010-1 / 99.80元
《Java Web整合开发王者归来(JSP+Servlet+Struts+Hibernate+Spring)》全面介绍了Java Web开发中的各种相关技术及知识。全书分为9篇,内容层次清晰,难度循序渐进。第1篇为入门篇,内容包括Java Web开发概述等;第2篇为基础篇,内容包括Servlet技术、JSP技术、会话跟踪、过滤器Filter、监听器Listener等;第3篇为高级篇,内容包括JST......一起来看看 《Java Web整合开发王者归来》 这本书的介绍吧!
