我们知道,在一些主流的浏览器中按F12,就会拉出一个查看web访问详细信息的窗口,在firefox中叫firebug,在chrome或者IE中,则叫developer tools,他们功能都大同小异,当然,比较重要的自然是查看http request与response, 幸运的是,这三个工具都把其放在一个叫Network的tab下面,虽然显示格式略有不同,但基本信息都是一样的。
当我们通过一个form提交信息的时候,如果是GET方式,form中的信息会以参数的形式附加在URL后面;如果是POST的方式,则包在request的body中,但不论是那种方式,form中的信息,都会在http request中,而且可以用上面提到的工具查看到:如果这个form恰好是个登陆框,或者是支付框,那么你的用户名与密码自然也会出现在request中。
就此,我针对三类网站做了实验:
1. 普通非加密网站:博客园(http://passport.cnblogs.com/login.aspx)
无任何加密,密码自然如愿以明文方式显示在http request中:(chrome)
tbUserName:test
tbPassword:test
btnLogin:登 录
txtReturnUrl:http://home.cnblogs.com/
(原来的douban的例子是错的,其登录页面是https的)
2. https加密网站:GitHub(https://github.com/lzprgmr) + Google(http://www.google.com.hk/)
虽然这两个网站使用了https加密,但我们捕捉到的request,还是包含了密码明文:
Form Data: authenticity_token:9fsgNlzbnOD.....=
login:test
password:test
commit:Sign in
原因在与https(ssl)的加密是发生在Application layer与Transportation layer之间,所以,在传输层看到的数据才是经过加密的,而我们捕捉到的http request的,自然是应用层的,是还没经过加密的数据。
3. 带安全控件的支付类网站:支付宝(https://auth.alipay.com/login/index.htm)
支付宝自然是https的,但是他的同时也增加了安全控件来保护密码, 以前认为这个只是用来防键盘监听的,其实,看下面http request截获的密码:这个安全控件把给request的密码也先加了密,紧接着https再加次密,果然是和钱打交道的,安全级别高多了:)
Form Data: logonId:test@gmail.com password:EgUw11BHmg7obmQNCckbCd1b ekN5Jv7 Fw41MXVMicEVsF/ehu9hhwB6V8eBGfQvWA8IqHEGClCJ1C97qg5Rp1zQSHLAf1DkgR97b99VRJ3LRjLKywAaWgs1gjW2AS9S49rDw 5ERUh3vK021/I9DiubHKZS4NUzdhfb6Hz8 iWyh3lWBO/3rw9ehtug/1dQJ9oje2CUpM0cR9DPjiLikOIZ0JSr/yCCz68VzfHmgdE8Rr 4yqO6titkKGh0dYek0hCck6yQ2d7XAkd/3U1YA2B4EQ47qKVNpBdienXRfrOn Egu7JBoSfsqcnvAosvRC 94diCJ Grz7hW2GJjlg==