當(dāng)柳上原的風(fēng)吹向天際的時候...

真正的快樂來源于創(chuàng)造

:: 管理

368 Posts :: 1 Stories :: 201 Comments :: 0 Trackbacks

以下文字只是記錄我做的一個小實驗，沒有代碼和程序，沒有興趣者請退散。

在“用TCPMon驗證Web應(yīng)用的安全性隱患”中談到，http基本就是明碼，如果用嗅探器獲得http數(shù)據(jù)包的話，甚多私密信息都被被截獲，下面將記錄這一過程。
下文中提到的嗅探器是Wireshark，這是一個優(yōu)秀的免費軟件，您可以從 wireshark官方網(wǎng)站得到它。
下文中涉及的站點是天涯的用戶登錄頁面（http://passport.tianya.cn/login.jsp），下面實驗中要用到已經(jīng)注冊的用戶名test_user2010及其密碼t123456 .

首先，我們要知道本機的IP地址和點擊登錄頁面的登錄按鈕后要向他發(fā)出http請求的機器的ip地址，前者用ipconfig就能知道，后者的話需要打開網(wǎng)頁源碼獲取響應(yīng)服務(wù)器的網(wǎng)址，再用ping獲得其IP地址。請參考下圖：
打開網(wǎng)頁源碼獲取響應(yīng)服務(wù)器的網(wǎng)址：

再用ping獲得其IP地址：

到這里，我們知道當(dāng)我們在登錄頁面輸入用戶名和密碼后，本機192.168.104.173將和221.11.172.202取得聯(lián)系。

第二步，我們打開Wireshark，讓它開始監(jiān)聽網(wǎng)絡(luò)數(shù)據(jù)包，當(dāng)我們點擊登錄按鈕并登錄成功后再停止監(jiān)聽。

第三步，我們可以從Wireshark的監(jiān)聽結(jié)果中去找想要的數(shù)據(jù)，為了減小范圍，我們可以在filter中輸入ip.src==192.168.104.173 && http，它表示IP來源是本機IP，使用的協(xié)議是http，下面是找到的結(jié)果：

在infor一列中，書寫有POST /login http/1.1 （application .....）的一行就是點擊登錄按鈕后發(fā)出的http請求，這一行在上圖中用藍(lán)色框框起來了。

點擊這一行，彈出的界面中已經(jīng)把我們輸入的用戶名和密碼都暴露出來了，上圖中用紅色框表示。

好了，到這里實驗就做完了，它表示以Http為基礎(chǔ)的Web世界并不安全，用戶名和密碼不足以保護您的私密信息，所以，很多網(wǎng)站也需要加強安全措施，您自己也盡量不要把隱私信息放到網(wǎng)上。

最后感謝您看完此文。

附：2010年12月24日的截圖

posted on 2010-12-11 14:19 何楊閱讀(52919) 評論(16) 編輯收藏

Feedback

# re: 用Wireshark從http數(shù)據(jù)包中得到用戶的登錄信息[未登錄] 2010-12-12 11:17 tiger

驚訝！用https可以避免吧？樓主可以發(fā)一些網(wǎng)站加強安全措施的文章，期待??！回復(fù) 更多評論

# re: 用Wireshark從http數(shù)據(jù)包中得到用戶的登錄信息 2010-12-13 14:34 何楊

@tiger

https進行了加密，可以信任。回復(fù) 更多評論

# re: 用Wireshark從http數(shù)據(jù)包中得到用戶的登錄信息 2010-12-23 15:22 流氓的微笑

博主，我用你的方法試了試，也是拿天涯當(dāng)例子，試了幾遍下來，都抓不到在infor一列中，書寫有POST /login http/1.1 （application .....）的一行
這是怎么的啊回復(fù) 更多評論

# re: 用Wireshark從http數(shù)據(jù)包中得到用戶的登錄信息 2010-12-23 19:00 何楊

@流氓的微笑

點提交前開始監(jiān)聽，提交完成后停止監(jiān)聽再開始找，注意過濾條件，總能找到的。回復(fù) 更多評論

# re: 用Wireshark從http數(shù)據(jù)包中得到用戶的登錄信息[未登錄] 2010-12-24 15:15 流氓的微笑

@何楊
我又試了幾次，其他的都對，按那個條件來過濾，只有幾條滿足條件，但都沒有POST /login http/1.1 （application .....）的一行
是不是帖子出了以后，天涯注意到這個，然后改動了回復(fù) 更多評論

# re: 用Wireshark從http數(shù)據(jù)包中得到用戶的登錄信息 2010-12-24 15:36 何楊

@流氓的微笑

我也重新試了一次，沒有問題，天涯沒有改，包也收到了，我把截圖貼在了文章末尾，供你參考。回復(fù) 更多評論

# re: 用Wireshark從http數(shù)據(jù)包中得到用戶的登錄信息 2010-12-24 15:42 何楊

另用IE測試也是一樣的效果。回復(fù) 更多評論

# re: 用Wireshark從http數(shù)據(jù)包中得到用戶的登錄信息[未登錄] 2010-12-24 16:33 流氓的微笑

@何楊
感謝樓主，測試成功，之前是我自己粗心犯錯了，我把過濾地址寫成ip.src == ”服務(wù)器地址“了，我用了幾個瀏覽器，也分別成功。
再次感謝樓主，學(xué)到很多東西，謝謝！回復(fù) 更多評論

# re: 用Wireshark從http數(shù)據(jù)包中得到用戶的登錄信息 2010-12-24 20:13 何楊

@流氓的微笑

祝賀你！回復(fù) 更多評論

# re: 用Wireshark從http數(shù)據(jù)包中得到用戶的登錄信息[未登錄] 2011-03-23 02:24 1

現(xiàn)在貌似主流門戶網(wǎng)站的http登陸密碼都加密了沒辦法用wireshark解析了我上個月還可以解析出來的！

cisco-ie@qq.com

請回復(fù)聯(lián)系！回復(fù) 更多評論

# re: 用Wireshark從http數(shù)據(jù)包中得到用戶的登錄信息 2011-04-05 21:54 何楊的股票博客

@1

正反雙方都在進步嘛！回復(fù) 更多評論

# re: 用Wireshark從http數(shù)據(jù)包中得到用戶的登錄信息 2011-08-29 09:23 fff

貌似那個網(wǎng)站的密碼和用戶名都加密啦？回復(fù) 更多評論

# re: 用Wireshark從http數(shù)據(jù)包中得到用戶的登錄信息 2014-04-14 21:49 路過的

sslstrip這個工具可以搞定https @tiger
回復(fù) 更多評論

# re: 用Wireshark從http數(shù)據(jù)包中得到用戶的登錄信息 2014-05-06 11:19 玩的

現(xiàn)在是不是不可以了，好像都已經(jīng)加密了~ 回復(fù) 更多評論

# re: 用Wireshark從http數(shù)據(jù)包中得到用戶的登錄信息 2014-06-16 15:07 zolin

@玩的
今天試了，天涯用這種方法看不到密碼了回復(fù) 更多評論

# re: 用Wireshark從http數(shù)據(jù)包中得到用戶的登錄信息[未登錄] 2015-10-27 15:39 richard

其實通過js加密的方式可以很容易避免這個問題。回復(fù) 更多評論

新用戶注冊刷新評論列表


只有注冊用戶登錄后才能發(fā)表評論。




網(wǎng)站導(dǎo)航: 博客園 IT新聞 Chat2DB C++博客博問管理

當(dāng)柳上原的風(fēng)吹向天際的時候...

公告

常用鏈接

留言簿(3)

隨筆分類

相冊

個人常用鏈接

最新隨筆

積分與排名

最新評論

閱讀排行榜

Feedback