登录密码与HTTP Request

标签: 登录 密码 http | 发表时间:2012-08-16 23:18 | 作者:lzprgmr
出处:http://www.cnblogs.com/

我们知道,在一些主流的浏览器中按F12,就会拉出一个查看web访问详细信息的窗口,在firefox中叫firebug,在chrome或者IE中,则叫developer tools,他们功能都大同小异,当然,比较重要的自然是查看http request与response, 幸运的是,这三个工具都把其放在一个叫Network的tab下面,虽然显示格式略有不同,但基本信息都是一样的。

当我们通过一个form提交信息的时候,如果是GET方式,form中的信息会以参数的形式附加在URL后面;如果是POST的方式,则包在request的body中,但不论是那种方式,form中的信息,都会在http request中,而且可以用上面提到的工具查看到:如果这个form恰好是个登陆框,或者是支付框,那么你的用户名与密码自然也会出现在request中。

就此,我针对三类网站做了实验:

1. 普通非加密网站:豆瓣( http://www.douban.com/)
无任何加密,密码自然如愿以明文方式显示在http request中:(chrome)

Form Data:
source:index_nav
form_email:test
form_password:test

 

2. https加密网站:GitHub( https://github.com/lzprgmr) + Google( http://www.google.com.hk/)

虽然这两个网站使用了https加密,但我们捕捉到的request,还是包含了密码明文:

Form Data:authenticity_token:9fsgNlzbnOD.....=
login:test
password:test
commit:Sign in

原因在与https(ssl)的加密是发生在Application layer与Transportation layer之间,所以,在传输层看到的数据才是经过加密的,而我们捕捉到的http request的,自然是应用层的,是还没经过加密的数据。

3. 带安全控件的支付类网站:支付宝( https://auth.alipay.com/login/index.htm

支付宝自然是https的,但是他的同时也增加了安全控件来保护密码, 以前认为这个只是用来防键盘监听的,其实,看下面http request截获的密码:这个安全控件把给request的密码也先加了密,紧接着https再加次密,果然是和钱打交道的,安全级别高多了:)

Form Data:logonId:[email protected]:EgUw11BHmg7obmQNCckbCd1b ekN5Jv7 Fw41MXVMicEVsF/ehu9hhwB6V8eBGfQvWA8IqHEGClCJ1C97qg5Rp1zQSHLAf1DkgR97b99VRJ3LRjLKywAaWgs1gjW2AS9S49rDw 5ERUh3vK021/I9DiubHKZS4NUzdhfb6Hz8 iWyh3lWBO/3rw9ehtug/1dQJ9oje2CUpM0cR9DPjiLikOIZ0JSr/yCCz68VzfHmgdE8Rr 4yqO6titkKGh0dYek0hCck6yQ2d7XAkd/3U1YA2B4EQ47qKVNpBdienXRfrOn Egu7JBoSfsqcnvAosvRC 94diCJ Grz7hW2GJjlg==

本文链接

相关 [登录 密码 http] 推荐:

登录密码与HTTP Request

- - 博客园_首页
我们知道,在一些主流的浏览器中按F12,就会拉出一个查看web访问详细信息的窗口,在firefox中叫firebug,在chrome或者IE中,则叫developer tools,他们功能都大同小异,当然,比较重要的自然是查看http request与response, 幸运的是,这三个工具都把其放在一个叫Network的tab下面,虽然显示格式略有不同,但基本信息都是一样的.

网站的无密码登录

- - 阮一峰的网络日志
常见的做法,是让用户注册一个账户. 对于用户来说,每个网站必须记住一个密码,非常麻烦;对于开发者来说,必须承担保护密码的责任,一旦密码泄漏,对网站的业务和信誉都是 巨大打击. 所以,很早以前,人们就开始设想"无密码登录"(password-less login). 这对用户和网站,都将是极大的减负.

详解 Mac OS X Lion 的登录密码漏洞

- Power - cnBeta.COM
Defence in Depth 发现了一个 Mac OS X Lion 下的安全漏洞,使得任何能接触到已经登录的 Lion 的人都可以通过一个简单的命令更改当前用户的登录密码,且这一过程并不需要输入任何密码.

谷歌牵头FIDO联盟发布无密码登录标准

- - cnBeta全文版
今年10月谷歌发布了利用USB秘钥登陆Chrome和Gmail的新方法. 这种技术来自谷歌支持的FIDO联盟,这一联盟旨在推动可以替代用户名和密码的新登陆方式. 该联盟今天发布了无密码访问网站和在线服务的最终通用标准. 在谷歌、PayPal和eBay高管的带领下,FIDO旨在开发能够让用户通过公共密钥进行加密的协议,这比目前的用户名和密码模式更加难以让人破解.

HTTP Headers 入门

- johnny - Time Machine
非常感谢 @ytzong 同学在twitter上推荐这篇文章,原文在此. 本文系统的对HTTP Headers进行了简明易懂的阐述,我仅稍作笔记. 什么是HTTP Headers. HTTP是“Hypertext Transfer Protocol”的所写,整个万维网都在使用这种协议,几乎你在浏览器里看到的大部分内容都是通过http协议来传输的,比如这篇文章.

HTTP基础

- - ITeye博客
HTTP的结构主要包括下面几个要点:. HTTP的版本主要有1.0,1.1 和更高版本.    1.1 及以上版本允许在一个TCP连接上传送多个HTTP协议,1.0能 .    1.1 及以上版本多个请求和响应可以重叠,1.0不能.    1.1 增加了很多的请求头和响应头.     一个请求行,若干小心头,以及实体内容,其中的一些消息头和实体内容是可选的,消息头和实体内容需要空行隔开.

HTTP Header 详解

- - 博客园_Ruby's Louvre
HTTP(HyperTextTransferProtocol)即超文本传输协议,目前网页传输的的通用协议. HTTP协议采用了请求/响应模型,浏览器或其他客户端发出请求,服务器给与响应. 就整个网络资源传输而言,包括message-header和message-body两部分. 首先传递message- header,即 http header消息.

HTTP/2 in Netty

- -
Here, we created a context for the server with a JDK SSL provider, added a couple of ciphers, and configured the Application-Layer Protocol Negotiation for HTTP/2..

Mac OS X Lion安全漏洞可以轻易修改登录密码

- ArmadilloCommander - Solidot
一位安全研究员发现了Mac OS X Lion系统的一个安全漏洞,可以让任何能接触到已登录Lion系统的人都可以通过一个简单的命令更改当前用户的登录密码,且这一过程不需要输入任何密码. 只要登录后在终端中输入如下命令:“dscl localhost -passwd /Search/Users/[当前用户名]”,之后就会提示输入新密码,这一过程并不需要输入旧密码.

Mozilla Persona测试版发布,一个密码登录所有网站

- - ITeye资讯频道
Mozilla Persona 跨平台和浏览器的登录管理系统,打造安全、便捷简单的登录体验. 支持Persona 登录的网站使用电子邮件地址即可登录,不需要通常网站所必须的用户名和密码,用户也可以免除记住注册 ID 和某个网站登录密码的麻烦. 关于Mozilla Persona: https://login.persona.org/.