为什么能抓到网站https传输的明文密码?------顺便说说“知乎”和“支付宝”的安全性对比
在多数人看来, https是安全的, 因为https和secure http嘛, 真的是这样吗?
一些人认为, https是加密传输, 所以抓到包也没有用, 是密文的。 真是的这样吗? 我今天无意抓到了某网站登录的密码, 是明文的, 有点吃惊, 结果上网查了一下, 发现还是有不少网站在用https传明文密码。
下面, 我们以知乎的登录过程来看看,输入密码后, fiddler抓包如下:
居然是明文密码!!!
现在你要问, 为什么用https抓包, 还是能看到明文内容呢? 这里我们要理解https的栈流程, 梳理一下就知道, 加密层位于http层和tcp层之间, 所以抓到的http层的数据并没有加密。 同理, 在后台接收端, 经历解密后, 到达http层的数据也是明文。 要注意, https不是对http报文进行加密, 而是对业务数据进行加密, 然后用http传输。
我斗胆, 知乎不敢在后台存用户的明文密码。 而注册过程和登录的过程, 知乎后台是能拿到用户密码的, 所以说, 知乎的后台开发同学, 仍然有机会接触到用户的文明密码, 这是很危险的啊。 怎么让用户放心呢? 另外, 客户端能抓到明文, 坏人很容易植入木马, 获取到登录的密码, 所以, 用https传输密码, 也是不安全的。
另外一个某网站(在此, 我不点名)居然也是用https传输明文, 呵呵哒。 本来, 用哈希加盐就能解决问题。
我们来看下支付宝, 大家猜猜结果, 如果支付宝也是这样, 估计阿里就不是阿里了, 来抓包看看:
---------------------
作者:stpeace
来源:CSDN
原文:https://blog.csdn.net/stpeace/article/details/78073288
版权声明:本文为博主原创文章,转载请附上博文链接!
最新文章
- java入门笔记001--java环境搭建
- 关于清除arp 缓存的那点事儿
- NPA——.NET Persistence API
- MVC 自定义Htmlhelper扩展
- BizTalk动手实验(九)业务规则引擎使用
- Memcached监听多个端口_同一台Windows机器中启动多个Memcached服务
- 在myql sqlserver里边怎么快速找到带有关键字的表
- C#不安全代码和指针
- CSS开启硬件加速 hardware accelerated
- ci 用本身 email 类发 email
- DatabaseMetaData的用法【转载】
- centos 推荐使用epel源
- 用NIO实现http协议
- LightGBM大战XGBoost,谁将夺得桂冠?
- hdfs 路径不支持‘:’
- Shell test 命令
- Armstrong公理
- python列表的常用方法
- pandas获取当前时间
- pytest.7.常见套路