APP賬號密碼傳輸安全分析

2022-03-23 22:07:38 字數 2198 閱讀 1053

問題1:賬號密碼採用http傳輸,賬號與密碼(md5值)均可以捕獲;

公司郵箱各版本其實使用的也是明文傳輸,最近web雖採用了https傳輸,但仍是傳輸的明文,可以抓包檢視(https也可通過fiddler解析成明文),基於此原因,於是對主流郵箱登入進行抓包分析,本文主要分析qq是如何把賬號密碼從客戶端傳到服務端,學習借鑑相關經驗。

**********=分析結果(findyou)***************

【qq觸屏版】

測試帳號:2198400585

使用者密碼:123qwe

加密方法:rsa非對稱加密

傳輸協議:https

【web版】

測試帳號:2198400585

使用者密碼:123qwe

加密方法:md5(hexchar2bin(md5(密碼))+qq號16進製制)+驗證碼

傳輸協議:https

分析結論:使隨機驗證碼混合md5加密以保證每次登入的值不一樣

**********=分析結果(findyou)***************

操作步驟:1.使用chrome修改瀏覽器user agent為iphone

2.開啟fiddler準備抓包

3.訪問mail.qq.com,qq會自動適配到觸屏版

4.檢視原始碼

得到關鍵**如下:

loginform.onsubmit = function()

return true;

}

如此可以看使用加密方法: rsa公鑰加密演算法fiddler抓包如下:(p為密碼加密後的值)

step1:  開啟mail.qq.com,向伺服器 獲取驗證碼

捕獲請求:

返回資料有兩種情況:

1). ptui_checkvc('1','aabf7b95f41689c5872740515288dcb5b1911c3de95f2092','\x00\x00\x00\x00\x83\x08\xee\x49');

2). ptui_checkvc('0','!bqi','\x00\x00\x00\x00\x83\x08\xee\x49');

其中 『1』代表需要驗證碼,『0』代表不需要驗證碼 ,'!bqi' 就是預設的驗證碼;

step2: 密碼加密

m=c.p.value;

var i=hexchar2bin(md5(m));

var h=md5(i+pt.uin);

var g=md5(h+c.verifycode.value.touppercase());

密碼「123qwe」通過以上加密方法,得到的結果與抓包請求中的加密值一樣(請求截圖見step3)

pt.uin =  \x00\x00\x00\x00\x83\x08\xee\x49     qq號 2198400585的16進製制 000000008308ee49 

step3:登入請求

捕獲請求:

登入成功後返回的資料:

ptuicb('0','0','','1','登入成功!', 'qq');

,使用https實現登入

檢視git 賬號密碼和修改git賬號密碼

檢視使用者名稱 git config user.name 檢視密碼 git config user.password 檢視配置資訊 git config list 修改使用者名稱 git config global user.name x 新的使用者名稱 修改密碼git config global ...

git記住賬號密碼

涉及到記住密碼的方式,只適用於http s 方式,記住密碼的幾種方式 https 方式每次都要輸入密碼,按照如下設定即可輸入一次就不用再手輸入密碼的困擾而且又享受 https 帶來的極速 按照以下設定記住密碼十五分鐘 git config global credential.helper cache...

賬號密碼登入介面

後台 select username,password from users where username uname and password passwd limit 0,1 輸入賬號 dumb 密碼 dumb2 select username,password from users where...