当柳上原的风吹向天际的时候...

真正的快乐来源于创造

  BlogJava :: 首页 :: 联系 :: 聚合  :: 管理
  368 Posts :: 1 Stories :: 201 Comments :: 0 Trackbacks
以下文字只是记录我做的一个小实验,没有代码和程序,没有兴趣者请退散。

在“用TCPMon验证Web应用的安全性隐患”中谈到,http基本就是明码,如果用嗅探器获得http数据包的话,甚多私密信息都被被截获,下面将记录这一过程。
下文中提到的嗅探器是Wireshark,这是一个优秀的免费软件,您可以从 wireshark官方网站 得到它。
下文中涉及的站点是天涯的用户登录页面(http://passport.tianya.cn/login.jsp),下面实验中要用到已经注册的用户名test_user2010及其密码t123456  .


首先,我们要知道本机的IP地址和点击登录页面的登录按钮后要向他发出http请求的机器的ip地址,前者用ipconfig就能知道,后者的话需要打开网页源码获取响应服务器的网址,再用ping获得其IP地址。请参考下图:
打开网页源码获取响应服务器的网址:


再用ping获得其IP地址:


到这里,我们知道当我们在登录页面输入用户名和密码后,本机192.168.104.173将和221.11.172.202取得联系。

第二步,我们打开Wireshark,让它开始监听网络数据包,当我们点击登录按钮并登录成功后再停止监听。

第三步,我们可以从Wireshark的监听结果中去找想要的数据,为了减小范围,我们可以在filter中输入ip.src==192.168.104.173  && http,它表示IP来源是本机IP,使用的协议是http,下面是找到的结果:


在infor一列中,书写有POST /login http/1.1 (application .....)的一行就是点击登录按钮后发出的http请求,这一行在上图中用蓝色框框起来了。

点击这一行,弹出的界面中已经把我们输入的用户名和密码都暴露出来了,上图中用红色框表示。

好了,到这里实验就做完了,它表示以Http为基础的Web世界并不安全,用户名和密码不足以保护您的私密信息,所以,很多网站也需要加强安全措施,您自己也尽量不要把隐私信息放到网上。

最后感谢您看完此文。

附:2010年12月24日的截图



posted on 2010-12-11 14:19 何杨 阅读(44531) 评论(16)  编辑  收藏

Feedback

# re: 用Wireshark从http数据包中得到用户的登录信息[未登录] 2010-12-12 11:17 tiger
惊讶!用https可以避免吧?楼主可以发一些网站加强安全措施的文章,期待啊!  回复  更多评论
  

# re: 用Wireshark从http数据包中得到用户的登录信息 2010-12-13 14:34 何杨
@tiger

https进行了加密,可以信任。  回复  更多评论
  

# re: 用Wireshark从http数据包中得到用户的登录信息 2010-12-23 15:22 流氓的微笑
博主,我用你的方法试了试,也是拿天涯当例子,试了几遍下来,都抓不到在infor一列中,书写有POST /login http/1.1 (application .....)的一行
这是怎么的啊  回复  更多评论
  

# re: 用Wireshark从http数据包中得到用户的登录信息 2010-12-23 19:00 何杨
@流氓的微笑

点提交前开始监听,提交完成后停止监听再开始找,注意过滤条件,总能找到的。  回复  更多评论
  

# re: 用Wireshark从http数据包中得到用户的登录信息[未登录] 2010-12-24 15:15 流氓的微笑
@何杨
我又试了几次,其他的都对,按那个条件来过滤,只有几条满足条件,但都没有POST /login http/1.1 (application .....)的一行
是不是帖子出了以后,天涯注意到这个,然后改动了  回复  更多评论
  

# re: 用Wireshark从http数据包中得到用户的登录信息 2010-12-24 15:36 何杨
@流氓的微笑

我也重新试了一次,没有问题,天涯没有改,包也收到了,我把截图贴在了文章末尾,供你参考。  回复  更多评论
  

# re: 用Wireshark从http数据包中得到用户的登录信息 2010-12-24 15:42 何杨
另用IE测试也是一样的效果。  回复  更多评论
  

# re: 用Wireshark从http数据包中得到用户的登录信息[未登录] 2010-12-24 16:33 流氓的微笑
@何杨
感谢楼主,测试成功,之前是我自己粗心犯错了,我把过滤地址写成ip.src == ”服务器地址“了,我用了几个浏览器,也分别成功。
再次感谢楼主,学到很多东西,谢谢!  回复  更多评论
  

# re: 用Wireshark从http数据包中得到用户的登录信息 2010-12-24 20:13 何杨
@流氓的微笑

祝贺你!   回复  更多评论
  

# re: 用Wireshark从http数据包中得到用户的登录信息[未登录] 2011-03-23 02:24 1
现在貌似主流门户网站的http登陆 密码都加密了 没办法用wireshark解析了 我上个月还可以解析出来的!

cisco-ie@qq.com

请回复联系!  回复  更多评论
  

# re: 用Wireshark从http数据包中得到用户的登录信息 2011-04-05 21:54 何杨的股票博客
@1

正反双方都在进步嘛!  回复  更多评论
  

# re: 用Wireshark从http数据包中得到用户的登录信息 2011-08-29 09:23 fff
貌似那个网站的密码和用户名都加密啦?  回复  更多评论
  

# re: 用Wireshark从http数据包中得到用户的登录信息 2014-04-14 21:49 路过的
sslstrip这个工具可以搞定https @tiger
  回复  更多评论
  

# re: 用Wireshark从http数据包中得到用户的登录信息 2014-05-06 11:19 玩的
现在是不是不可以了,好像都已经加密了~  回复  更多评论
  

# re: 用Wireshark从http数据包中得到用户的登录信息 2014-06-16 15:07 zolin
@玩的
今天试了,天涯用这种方法看不到密码了  回复  更多评论
  

# re: 用Wireshark从http数据包中得到用户的登录信息[未登录] 2015-10-27 15:39 richard
其实通过js加密的方式可以很容易避免这个问题。  回复  更多评论
  


只有注册用户登录后才能发表评论。


网站导航: