登录密码与HTTP Request

标签: 登录 密码 http | 发表时间:2012-08-16 15:18 | 作者:lzprgmr
出处:http://www.cnblogs.com/

我们知道,在一些主流的浏览器中按F12,就会拉出一个查看web访问详细信息的窗口,在firefox中叫firebug,在chrome或者IE中,则叫developer tools,他们功能都大同小异,当然,比较重要的自然是查看http request与response, 幸运的是,这三个工具都把其放在一个叫Network的tab下面,虽然显示格式略有不同,但基本信息都是一样的。

当我们通过一个form提交信息的时候,如果是GET方式,form中的信息会以参数的形式附加在URL后面;如果是POST的方式,则包在request的body中,但不论是那种方式,form中的信息,都会在http request中,而且可以用上面提到的工具查看到:如果这个form恰好是个登陆框,或者是支付框,那么你的用户名与密码自然也会出现在request中。

就此,我针对三类网站做了实验:

1. 普通非加密网站:豆瓣( http://www.douban.com/)
无任何加密,密码自然如愿以明文方式显示在http request中:(chrome)

Form Data:
source:index_nav
form_email:test
form_password:test

 

2. https加密网站:GitHub( https://github.com/lzprgmr) + Google( http://www.google.com.hk/)

虽然这两个网站使用了https加密,但我们捕捉到的request,还是包含了密码明文:

Form Data:authenticity_token:9fsgNlzbnOD.....=
login:test
password:test
commit:Sign in

原因在与https(ssl)的加密是发生在Application layer与Transportation layer之间,所以,在传输层看到的数据才是经过加密的,而我们捕捉到的http request的,自然是应用层的,是还没经过加密的数据。

3. 带安全控件的支付类网站:支付宝( https://auth.alipay.com/login/index.htm

支付宝自然是https的,但是他的同时也增加了安全控件来保护密码, 以前认为这个只是用来防键盘监听的,其实,看下面http request截获的密码:这个安全控件把给request的密码也先加了密,紧接着https再加次密,果然是和钱打交道的,安全级别高多了:)

Form Data:logonId:test@gmail.compassword:EgUw11BHmg7obmQNCckbCd1b ekN5Jv7 Fw41MXVMicEVsF/ehu9hhwB6V8eBGfQvWA8IqHEGClCJ1C97qg5Rp1zQSHLAf1DkgR97b99VRJ3LRjLKywAaWgs1gjW2AS9S49rDw 5ERUh3vK021/I9DiubHKZS4NUzdhfb6Hz8 iWyh3lWBO/3rw9ehtug/1dQJ9oje2CUpM0cR9DPjiLikOIZ0JSr/yCCz68VzfHmgdE8Rr 4yqO6titkKGh0dYek0hCck6yQ2d7XAkd/3U1YA2B4EQ47qKVNpBdienXRfrOn Egu7JBoSfsqcnvAosvRC 94diCJ Grz7hW2GJjlg==

本文链接

相关 [登录 密码 http] 推荐:

登录密码与HTTP Request

- - 博客园_首页
我们知道,在一些主流的浏览器中按F12,就会拉出一个查看web访问详细信息的窗口,在firefox中叫firebug,在chrome或者IE中,则叫developer tools,他们功能都大同小异,当然,比较重要的自然是查看http request与response, 幸运的是,这三个工具都把其放在一个叫Network的tab下面,虽然显示格式略有不同,但基本信息都是一样的.

网站的无密码登录

- - 阮一峰的网络日志
常见的做法,是让用户注册一个账户. 对于用户来说,每个网站必须记住一个密码,非常麻烦;对于开发者来说,必须承担保护密码的责任,一旦密码泄漏,对网站的业务和信誉都是 巨大打击. 所以,很早以前,人们就开始设想"无密码登录"(password-less login). 这对用户和网站,都将是极大的减负.

详解 Mac OS X Lion 的登录密码漏洞

- Power - cnBeta.COM
Defence in Depth 发现了一个 Mac OS X Lion 下的安全漏洞,使得任何能接触到已经登录的 Lion 的人都可以通过一个简单的命令更改当前用户的登录密码,且这一过程并不需要输入任何密码.

谷歌牵头FIDO联盟发布无密码登录标准

- - cnBeta全文版
今年10月谷歌发布了利用USB秘钥登陆Chrome和Gmail的新方法. 这种技术来自谷歌支持的FIDO联盟,这一联盟旨在推动可以替代用户名和密码的新登陆方式. 该联盟今天发布了无密码访问网站和在线服务的最终通用标准. 在谷歌、PayPal和eBay高管的带领下,FIDO旨在开发能够让用户通过公共密钥进行加密的协议,这比目前的用户名和密码模式更加难以让人破解.

HTTP Headers 入门

- johnny - Time Machine
非常感谢 @ytzong 同学在twitter上推荐这篇文章,原文在此. 本文系统的对HTTP Headers进行了简明易懂的阐述,我仅稍作笔记. 什么是HTTP Headers. HTTP是“Hypertext Transfer Protocol”的所写,整个万维网都在使用这种协议,几乎你在浏览器里看到的大部分内容都是通过http协议来传输的,比如这篇文章.

HTTP基础

- - ITeye博客
HTTP的结构主要包括下面几个要点:. HTTP的版本主要有1.0,1.1 和更高版本.    1.1 及以上版本允许在一个TCP连接上传送多个HTTP协议,1.0能 .    1.1 及以上版本多个请求和响应可以重叠,1.0不能.    1.1 增加了很多的请求头和响应头.     一个请求行,若干小心头,以及实体内容,其中的一些消息头和实体内容是可选的,消息头和实体内容需要空行隔开.

HTTP Header 详解

- - 博客园_Ruby's Louvre
HTTP(HyperTextTransferProtocol)即超文本传输协议,目前网页传输的的通用协议. HTTP协议采用了请求/响应模型,浏览器或其他客户端发出请求,服务器给与响应. 就整个网络资源传输而言,包括message-header和message-body两部分. 首先传递message- header,即 http header消息.

Mac OS X Lion安全漏洞可以轻易修改登录密码

- ArmadilloCommander - Solidot
一位安全研究员发现了Mac OS X Lion系统的一个安全漏洞,可以让任何能接触到已登录Lion系统的人都可以通过一个简单的命令更改当前用户的登录密码,且这一过程不需要输入任何密码. 只要登录后在终端中输入如下命令:“dscl localhost -passwd /Search/Users/[当前用户名]”,之后就会提示输入新密码,这一过程并不需要输入旧密码.

Mozilla Persona测试版发布,一个密码登录所有网站

- - ITeye资讯频道
Mozilla Persona 跨平台和浏览器的登录管理系统,打造安全、便捷简单的登录体验. 支持Persona 登录的网站使用电子邮件地址即可登录,不需要通常网站所必须的用户名和密码,用户也可以免除记住注册 ID 和某个网站登录密码的麻烦. 关于Mozilla Persona: https://login.persona.org/.

HTTP负载测试

- - 博客 - 伯乐在线
英文原文: ON HTTP LOAD TESTING 来源: oschina. 有很多人在谈论HTTP服务器软件的性能测试,也许是因为现在有太多的服务器选择. 这很好,但是我看到有人很多基本相同的问题,使得测试结果的推论值得怀疑. 在日常工作中花费了很多时间在高性能代理缓存和源站性能测试方面之后,这里有我认为比较重要的一些方面来分享.