當柳上原的風吹向天際的時候...

真正的快樂來源于創造

:: 管理

368 Posts :: 1 Stories :: 201 Comments :: 0 Trackbacks

Web應用的安全性一直有一個先天缺陷，即http基本就是明碼傳遞，這個缺陷可以讓后臺做的諸多加密工作一朝崩塌，下面以一個實際例子來說明。

我們還是用TCPMon來截獲http請求，看從中能否找到有用的信息，下面的Http請求來自很多網站都有的注冊和登錄頁面。TCPMon的具體方法請參照：如何用Apache TCPMon來截獲SOAP消息。

下面是用戶注冊頁面，我們向其中輸入了一點信息：

點擊“提交按鈕后”，我們在TCPMon中可以截獲這樣的內容.

下面是登錄頁面：

點擊“登錄”按鈕后，TCPMon截獲的內容如下：

上面兩個字符串：
name=%E5%88%98%E5%A4%87&email=1@3445.5&pswd=123456&repswd=123456&brief=rteterte&submitBtn=%E6%8F%90%E4%BA%A4
name=%E5%88%98%E5%A4%87&pswd=123456&submitBtn=%E7%99%BB%E5%BD%95

已經暴露了不少信息，我們再轉碼一下會全部暴露出來：

System.out.println(URLDecoder.decode("name=%E5%88%98%E5%A4%87&email=1@3445.5&pswd=123456&repswd=123456&brief=rteterte&submitBtn=%E6%8F%90%E4%BA%A4","utf-8"));
System.out.println(URLDecoder.decode("name=%E5%88%98%E5%A4%87&pswd=123456&submitBtn=%E7%99%BB%E5%BD%95","utf-8"));

輸出如下：

name=劉備&email=1@3445.5&pswd=123456&repswd=123456&brief=rteterte&submitBtn=提交
name=劉備&pswd=123456&submitBtn=登錄

也就是說，我們在表單中輸入的內容，已經完全出現在http請求中。只要加一個網絡嗅探器（sniffer）來收集網絡上傳遞的數據報的相關信息，再加以少許處理，所有私密信息都將被發現。

posted on 2010-12-11 11:55 何楊閱讀(1235) 評論(0) 編輯收藏

新用戶注冊刷新評論列表


只有注冊用戶登錄后才能發表評論。




網站導航: 博客園 IT新聞 Chat2DB C++博客博問管理

當柳上原的風吹向天際的時候...

公告

常用鏈接

留言簿(3)

隨筆分類

相冊

個人常用鏈接

最新隨筆

積分與排名

最新評論

閱讀排行榜