2.4.3 编码转换及加解密工具

###2.4.3 编码转换及加解密工具

  代码审计必然要接触到编码相关的知识,历史上很多高危的漏洞是由编码问题导致 的,比如在XSS漏洞中可以利用浏览器对不同编码的支持来绕过过滤触发漏洞，另外 我们也经常需要用到不同的编码转码来进行模糊测试漏洞另外是加解密以及Hash算 法,在代码审计中,我们经常遇到程序对特定字符进行加密或者Hash后用作Cookie 和Session,或者是用户密码的保存通情也会加密,所以我们必须要了解常用的加解密 方式，在后面会详细列举常见加解密方式及原理，这里.就不详细介绍。卜一面笔者推荐 几款编码转换和加解密的工具。

###

1. Burp Suite 上有一个 Decoder 功能

这个功能可对字符串进行编码和解码，支持百分号、Base64、ASCII等多种编码转 换，还支持Md2、Md5、Sha系歹ij等Hash算法。它的使用也非常简单,只需要输入要 转换要的字符,选齐需要转换成的编码即可，如图2-4-3-1所示。

图 2-4-3-1

2. 超级加解密转换工具

 超级加解密转换工具可以说一款万能加密解密转换工具，支持75种方式多种转换，火星最强软件！MD5、16位MD5、MD4、拼音、大小写转换、简繁转换、GBK《-》Big5、GBK简体《-》Big5、GBK《-》SJIS、火星文转换、数字到大写金额、迅雷Thunder、快车 FlashGet、QQ超级旋风、电驴、飞速网RayFile、纳米盘、115网络U盘,如图2-4-3-2所示

图2-4-3-2