为什么能抓到网站https传输的明文密码?------顺便说说“知乎”和“支付宝”的安全性对比
2017-09-23 20:44
405 查看
在多数人看来, https是安全的, 因为https和secure http嘛, 真的是这样吗?
一些人认为, https是加密传输, 所以抓到包也没有用, 是密文的。 真是的这样吗? 我今天无意抓到了某网站登录的密码, 是明文的, 有点吃惊, 结果上网查了一下, 发现还是有不少网站在用https传明文密码。
下面, 我们以知乎的登录过程来看看,输入密码后, fiddler抓包如下:
![](https://img-blog.csdn.net/20170923204958545?watermark/2/text/aHR0cDovL2Jsb2cuY3Nkbi5uZXQvc3RwZWFjZQ==/font/5a6L5L2T/fontsize/400/fill/I0JBQkFCMA==/dissolve/70/gravity/Center)
居然是明文密码!!!
现在你要问, 为什么用https抓包, 还是能看到明文内容呢? 这里我们要理解https的栈流程, 梳理一下就知道, 加密层位于http层和tcp层之间, 所以抓到的http层的数据并没有加密。 同理, 在后台接收端, 经历解密后, 到达http层的数据也是明文。 要注意, https不是对http报文进行加密, 而是对业务数据进行加密, 然后用http传输。
我斗胆, 知乎不敢在后台存用户的明文密码。 而注册过程和登录的过程, 知乎后台是能拿到用户密码的, 所以说, 知乎的后台开发同学, 仍然有机会接触到用户的文明密码, 这是很危险的啊。 怎么让用户放心呢? 另外, 客户端能抓到明文, 坏人很容易植入木马, 获取到登录的密码, 所以, 用https传输密码, 也是不安全的。
另外一个某网站(在此, 我不点名)居然也是用https传输明文, 呵呵哒。 本来, 用哈希加盐就能解决问题。
我们来看下支付宝, 大家猜猜结果, 如果支付宝也是这样, 估计阿里就不是阿里了, 来抓包看看:
![](https://img-blog.csdn.net/20170923210411059?watermark/2/text/aHR0cDovL2Jsb2cuY3Nkbi5uZXQvc3RwZWFjZQ==/font/5a6L5L2T/fontsize/400/fill/I0JBQkFCMA==/dissolve/70/gravity/Center)
可见, 支付宝是对明文密码进行了处理, 然后用https传输的。 这是预期中的, 也是应该的。给个赞。
我又试了某知名网站(在此, 我不点名), 发现也是非明文密码, 且用https传输, 赞一个。
不多说。
一些人认为, https是加密传输, 所以抓到包也没有用, 是密文的。 真是的这样吗? 我今天无意抓到了某网站登录的密码, 是明文的, 有点吃惊, 结果上网查了一下, 发现还是有不少网站在用https传明文密码。
下面, 我们以知乎的登录过程来看看,输入密码后, fiddler抓包如下:
居然是明文密码!!!
现在你要问, 为什么用https抓包, 还是能看到明文内容呢? 这里我们要理解https的栈流程, 梳理一下就知道, 加密层位于http层和tcp层之间, 所以抓到的http层的数据并没有加密。 同理, 在后台接收端, 经历解密后, 到达http层的数据也是明文。 要注意, https不是对http报文进行加密, 而是对业务数据进行加密, 然后用http传输。
我斗胆, 知乎不敢在后台存用户的明文密码。 而注册过程和登录的过程, 知乎后台是能拿到用户密码的, 所以说, 知乎的后台开发同学, 仍然有机会接触到用户的文明密码, 这是很危险的啊。 怎么让用户放心呢? 另外, 客户端能抓到明文, 坏人很容易植入木马, 获取到登录的密码, 所以, 用https传输密码, 也是不安全的。
另外一个某网站(在此, 我不点名)居然也是用https传输明文, 呵呵哒。 本来, 用哈希加盐就能解决问题。
我们来看下支付宝, 大家猜猜结果, 如果支付宝也是这样, 估计阿里就不是阿里了, 来抓包看看:
可见, 支付宝是对明文密码进行了处理, 然后用https传输的。 这是预期中的, 也是应该的。给个赞。
我又试了某知名网站(在此, 我不点名), 发现也是非明文密码, 且用https传输, 赞一个。
不多说。
相关文章推荐
- 暴几个用明文在网上传输用户名密码的网站
- 网站安全之密码明文传输漏洞
- paip.提升安全---网站登录密码明文传输的登录高危漏洞解决方案
- 为什么有时候访问某些加密https网站是不需要证书的? https? ssl?
- 人人网是明文传输,所以只要抓包就能知道用户名和密码
- 解决DiscuzX3.3登录页面密码明文传输问题
- Linux下wireshark抓包验证telnet明文传输密码
- 一文看懂https如何保证数据传输的安全性的【转载、收藏】
- 为什么网站需要https?
- https传输基于多ip实现的网站数据传输
- 基于RSA的网站登录密码的加密传输
- 人人网登录明文传输密码?
- [原创] 支付宝alipay网站安全性测试漏洞之“无辜的备份文件”
- 谁能告诉我,密码为什么那么多明文。。
- URL地址参数进行加密传输提高网站安全性
- 一文看懂https如何保证数据传输的安全性的
- HTTPS 如何保证数据传输的安全性
- [原创]支付宝alipay网站安全性测试漏洞之“跨站脚本注入攻击”
- 为什么各大网站都纷纷用起了https?哪些网站需要https(SSL证书)
- 在Nginx上使用https协议增强网站的安全性