车联网APP,安全设施薄弱的山寨品
—
HDIT
来到该公司官网,打开任意一个云平台的链接,很显眼地能看见APP的下载按钮,下载,安装,抓包,使用,完全的套路,熟门熟路是不是。
再看抓取的报文,满目的HTTP协议数据:
完全没有对APP产生的数据进行保护的意识,典型的上世纪末的互联网产品。
再深究,看它的注册数据:
POST /api/reg HTTP/1.1
Content-Length: 60
Content-Type: application/x-www-form-urlencoded; charset=UTF-8
Host: www.hditcloud.com
Connection: Keep-Alive
Cookie: JSESSIONID=XXXXXXXXXXXXXXXXXXXXXXXXXXXXX
Cookie2: $Version=1
Accept-Encoding: gzip
method=registerPhone&password=888888&phone=18888888888&ver=1HTTP/1.1 200 OK
Server: nginx
Date: Thu, 11 Jun 2018 11:44:44 GMT
Content-Type: application/json;charset=UTF-8
Content-Length: 228
Connection: keep-alive
{"code":0,"data":{"account":"18888888888","displayFlag":1,"enabledFlag":1,"id":34113,"lastLoginTime":0,"name":"18888888888","password":"888888","phone":"18888888888","roleCode":"NORMAL","status":0,"type":5},"msg":"注册成功"}
赤裸裸的明文,账号,密码都没有进行稍稍遮掩,请求发回去,响应再发回来,莫名其妙的逻辑。
—
API
这个物联网平台,竟然提供API供第三方开发使用,看上去,像模像样,毕竟是院士加持过的公司。
但一看API接口的入口,让人十分扫兴呀。
你怎么可以这样,该公司另一个平台也有个APP,大概率就是使用这套API的,就不分析了。
—
期待
根据APP的情况分析,该公司的数百万车联网设备,应该也没有任何数据加密措施。想象一下,就已经很恐怖了,这些数据,一定包含大量的用户信息,定位信息,如果被有心人利用起来,后果不堪设想。
当然,协议还原喜欢这样的设备和APP。
长按进行关注。
最新文章
- UVa 524 Prime Ring Problem(回溯法)
- js事件处理、事件对象
- 硬盘安装win2003
- [firefox]在Debian7及其衍生版下安装firefox
- node-webkit教程(8)Platform Service之Clipboard
- Mybatis的mapper接口接受的参数类型
- sqlserver中的 数据转换 与 子查询
- 怎么修改tomcat默认访问首页
- 学习笔记_Filter小结(过滤器JavaWeb三大组件之一)
- OCR怎么能离开扫描仪呢?
- Android 周报
- 敏捷开发(八)- Scrum Sprint计划会议1
- ReadAndWriteData
- 手机端仿ios的银行下拉脚本五
- kerberos环境下spark消费kafka写入到Hbase
- C++中的to_string()函数[C++11支持]
- CMake set 语法
- C# 使用 HttpPost 请求调用 WebService
- eclispe 出现超内存错误
- svn add --no-ignore
热门文章
- js调用网络摄像头
- [爬虫]一个易用的IP代理池
- Python 读取照片的信息:拍摄时间、拍摄设备、经纬度等,以及根据经纬度通过百度地图API获取位置
- SQL,case ziduan when ziduan_value then 'result'
- The 2019 Asia Nanchang First Round Online Programming Contest
- Python学习一、一个小例子
- prometheus监控tomcat
- ACWING 95 费解的开关 解题记录
- 算法问题实战策略 WORDCHAIN
- Vue 组件通信的多种方式(props、$ref、$emit、$attr、 $listeners)