以Web代理劫持会话绕过并破解网页版软件USB-Key加密狗方案

单位某信息管理系统,需要加密狗才能运行,因为加密狗只有一个,该系统又需要维护各部门台账信息,遂思考在不增加加密狗的情况下能否将该系统分发下去,已知该系统采用Java Web方式编写,虽然有桌面应用的样子,但实质上是Web应用,很容易找到了Java Web服务器和实际的访问URL,在防火墙端口开放访问,并在路由器上做好端口映射,其他电脑访问正常,本来以为万事大吉,哪知道在登录的时候客户端提示没有加密狗无法登录。

审阅了登录页面的源代码,发现其采用ActiveX控件方式读取加密狗并设置登录信息以便于提交服务器,客户端没有加密狗,这个验证肯定也无法通过,原来我一直以为这个软件的加密狗是用于服务器端的,没想到客户端网页也采用了加密狗保护机制。

通常意义上加密狗是一种软件保护机制,主要防止软件被盗版,其通过硬件的方式保护核心的算法(比如关键公式),在软件需要的时候由硬件进行数据处理以完成整个软件流程,那么可以知道其登录信息的加密方式是存储在加密狗里面的,如果要登录成功又必须需要加密后的登录凭证。

因为该软件项目规模较大,反编译修改软件较为复杂,而且领导明确要求不可以改动原软件,所以只有另行他法。

继续阅读

解决某软件检测不到加密狗的问题

客户单位的某信息系统,准备安装在新购进的服务器上,服务器使用的是Windows 2003 Server版操作系统,该信息系统需要USB加密狗。

本来以为安装会很顺利,结果安装完成后总是提示服务器端检测不到加密狗,以为需要安装加密狗驱动,咨询了同行,说是这种USB版本的狗免驱动。试了很多办法未果,只好电话联系软件开发商,按照软件开发商工程师提供的步骤最终安装成功。

1. 启动软件相应支持服务。

2. 连接网线,连接公网或者内网,这一点不太明白,反正是激活网卡就可以了,否则只要网络连接断开,加密狗就无法工作。

3. 安装并启用IPX协议。全称是“NWLink IPX/SPX/NetBIOS Compatible Transport Protocol”。在本地连接属性,常规,选择“安装”,选择“协议”并添加,选择这个协议并确定,如图所示:

继续阅读