登录密码与HTTP Request
来源:互联网 发布:python queue模块 编辑:程序博客网 时间:2024/06/08 04:14
我们知道,在一些主流的浏览器中按F12,就会拉出一个查看web访问详细信息的窗口,在firefox中叫firebug,在chrome或者IE中,则叫developer tools,他们功能都大同小异,当然,比较重要的自然是查看http request与response, 幸运的是,这三个工具都把其放在一个叫Network的tab下面,虽然显示格式略有不同,但基本信息都是一样的。
当我们通过一个form提交信息的时候,如果是GET方式,form中的信息会以参数的形式附加在URL后面;如果是POST的方式,则包在request的body中,但不论是那种方式,form中的信息,都会在http request中,而且可以用上面提到的工具查看到:如果这个form恰好是个登陆框,或者是支付框,那么你的用户名与密码自然也会出现在request中。
就此,我针对三类网站做了实验:
1. 普通非加密网站:豆瓣(http://www.douban.com/)
无任何加密,密码自然如愿以明文方式显示在http request中:(chrome)
Form Data:
source:index_nav
form_email:test
form_password:test
2. https加密网站:GitHub(https://github.com/lzprgmr) + Google(http://www.google.com.hk/)
虽然这两个网站使用了https加密,但我们捕捉到的request,还是包含了密码明文:
Form Data: authenticity_token:9fsgNlzbnOD.....=
login:test
password:test
commit:Sign in
原因在与https(ssl)的加密是发生在Application layer与Transportation layer之间,所以,在传输层看到的数据才是经过加密的,而我们捕捉到的http request的,自然是应用层的,是还没经过加密的数据。
3. 带安全控件的支付类网站:支付宝(https://auth.alipay.com/login/index.htm)
支付宝自然是https的,但是他的同时也增加了安全控件来保护密码, 以前认为这个只是用来防键盘监听的,其实,看下面http request截获的密码:这个安全控件把给request的密码也先加了密,紧接着https再加次密,果然是和钱打交道的,安全级别高多了:)
Form Data: logonId:test@gmail.com password:EgUw11BHmg7obmQNCckbCd1b ekN5Jv7 Fw41MXVMicEVsF/ehu9hhwB6V8eBGfQvWA8IqHEGClCJ1C97qg5Rp1zQSHLAf1DkgR97b99VRJ3LRjLKywAaWgs1gjW2AS9S49rDw 5ERUh3vK021/I9DiubHKZS4NUzdhfb6Hz8 iWyh3lWBO/3rw9ehtug/1dQJ9oje2CUpM0cR9DPjiLikOIZ0JSr/yCCz68VzfHmgdE8Rr 4yqO6titkKGh0dYek0hCck6yQ2d7XAkd/3U1YA2B4EQ47qKVNpBdienXRfrOn Egu7JBoSfsqcnvAosvRC 94diCJ Grz7hW2GJjlg==
- 登录密码与HTTP Request
- 登录密码与HTTP Request
- 登录与密码
- wordpress密码生成与登录密码验证
- 破解系统登录密码与软件密码
- wordpress密码生成与登录密码验证
- wordpress密码生成与登录密码验证
- wordpress密码生成与登录密码验证
- HTTP::Request
- HTTP Request
- HTTP::Request
- HTTP Request
- HTTP Request
- tomcat 登录用户名 与 密码设置
- SSH源代码安装与免密码登录
- 记住密码与自动登录功能
- android 登录密码显示与隐藏
- Linux MySQL重要目录与登录密码
- Android学习笔记1 ——资源 (一)
- vs2010 post build 问题
- Java调用.dll文件
- FileUpLoad文件上传组件详解
- linux 常用命令
- 登录密码与HTTP Request
- 十个免费的Web压力测试工具
- Java 1.5中显示数组
- Java调用.dll文件
- sharepoint 2010 修改权限的方法
- 编译我的hello.ko
- 相关系数(Correlation coefficient)
- Sharepoint2010 学习资料网址
- C#不用Replace()去掉字符串中的空格