zoukankan      html  css  js  c++  java
  • APP账号密码传输安全分析

            最近在搞公司的安卓APP测试(ThinkDrive 企邮云网盘)测试,安卓app测试时使用代理抓包,发现所此app使用HTTP传输账号密码,且密码只是普通MD5加密,存在安全隐患,无法防止sniffer攻击、中间人攻击(因此这次安全问题,加强对这两安全术语的了解)
    问题1:账号密码采用http传输,账号与密码(MD5值)均可以捕获;
    问题2:密码虽采用MD5加密,简单密码可以在线解密;
    问题3:密码不解密也一样可以登录,通过A账号在app登录,再用sniffer得到的B 帐号与密码(MD5值),使用Fiddler修改A账号的请求完成B账号在APP登录
     
         公司邮箱各版本其实使用的也是明文传输,最近WEB虽采用了HTTPS传输,但仍是传输的明文,可以抓包查看(HTTPS也可通过Fiddler解析成明文),基于此原因,于是对主流邮箱登录进行抓包分析,本文主要分析QQ是如何把账号密码从客户端传到服务端,学习借鉴相关经验。
     
    ===========分析结果(Findyou)===============
    【QQ触屏版】
    测试帐号:2198400585
    用户密码:123qwe
    加密方法:RSA非对称加密
    传输协议:HTTPS
     
    【WEB版】
    测试帐号:2198400585
    用户密码:123qwe
    加密方法:MD5(hexchar2bin(MD5(密码))+QQ号16进制)+验证码
    传输协议:HTTPS
    分析结论:使随机验证码混合MD5加密以保证每次登录的值不一样
    ===========分析结果(Findyou)===============
     
     
    • 【QQ触屏版分析】 
     
     
     
     
    操作步骤:1.使用Chrome修改浏览器User Agent为iphone
                  2.打开Fiddler准备抓包
                  3.访问mail.qq.com,QQ会自动适配到触屏版
                  4.查看http://w.mail.qq.com/cgi-bin/loginpage?f=xhtml源码
    得到关键代码如下:
        loginForm.onsubmit = function(){
            var pwd = document.getElementById("pwd");
            var p = document.getElementById("p");
            var tsValue = document.getElementById("ts").value;
            var PublicKey = "CF87D7B4C864F4842F1D337491A48FFF54B73A17300E8E42FA365420393AC0346AE55D8AFAD975DFA175FAF0106CBA81AF1DDE4ACEC284DAC6ED9A0D8FEB1CC070733C58213EFFED46529C54CEA06D774E3CC7E073346AEBD6C66FC973F299EB74738E400B22B1E7CDC54E71AED059D228DFEB5B29C530FF341502AE56DDCFE9";
                var RSA = new RSAKey();
                RSA.setPublic(PublicKey, "10001");
            var Res = RSA.encrypt(pwd.value+ '
    ' + tsValue + '
    ');
            if (Res)
            {
                p.value = hex2b64(Res);
                pwd.value = "";
            }
            return true;
        }

    如此可以看使用加密方法: RSA公钥加密算法

    Fiddler抓包如下:(P为密码加密后的值)

     
     
     
     
     
    • 【WEB版分析】 
     
    注:网上查阅众多相关资料(网上有许多介绍QQ登录相关的内容),总结实践测试截图抓包如下
     
    Step1:  打开mail.qq.com,向服务器 获取验证码 
    捕获请求:
    https://ssl.ptlogin2.qq.com/check?uin=2198400585@qq.com&appid=522005705&ptlang=2052&js_type=2&js_ver=10009&r=0.8771616001613438
    返回数据有两种情况:
    1). ptui_checkVC('1','aabf7b95f41689c5872740515288dcb5b1911c3de95f2092','x00x00x00x00x83x08xeex49');
    2). ptui_checkVC('0','!BQI','x00x00x00x00x83x08xeex49');
    其中 ‘1’代表需要验证码,‘0’代表不需要验证码 ,'!BQI' 就是默认的验证码;
     
    Step2: 密码加密 
    腾讯JS加密代码: 
    M=C.p.value;
    var I=hexchar2bin(md5(M));
    var H=md5(I+pt.uin);
    var G=md5(H+C.verifycode.value.toUpperCase());
     
    密码“123qwe”通过以上加密方法,得到的结果与抓包请求中的加密值一样(请求截图见Step3)
    pt.uin =  x00x00x00x00x83x08xeex49     QQ号 2198400585的16进制 000000008308ee49 
     
     
    Step3:登录请求
    捕获请求: 
    https://ssl.ptlogin2.qq.com/login?ptlang=2052&aid=522005705&daid=4&u1=https%3A%2F%2Fmail.qq.com%2Fcgi-bin%2Flogin%3Fvt%3Dpassport%26vm%3Dwpt%26ft%3Dptlogin%26ss%3D%26validcnt%3D%26clientaddr%3D2198400585%40qq.com&from_ui=1&ptredirect=1&h=1&wording=%E5%BF%AB%E9%80%9F%E7%99%BB%E5%BD%95&css=https://mail.qq.com/zh_CN/htmledition/style/fast_login148203.css&mibao_css=m_ptmail&u_domain=@qq.com&uin=2198400585&u=2198400585@qq.com&p= 15A6FB7C3A0F0F12BE2BB2BFA52F7BDF&verifycode= !BQI&fp=loginerroralert&action=2-6-30865&g=1&t=1&dummy=&js_type=2&js_ver=10009
     
    登录成功后返回的数据:
    ptuiCB('0','0','https://ssl.ptlogin2.mail.qq.com/check_sig?pttype=1&uin=2198400585&service=login&nodirect=0&ptsig=9mgQ2dwnOftcwH965zksFLFPidMP2zxKQZJXkxdfOy0_&s_url=https%3a%2f%2fmail.qq.com%2fcgi-bin%2flogin%3fvt%3dpassport%26vm%3dwpt%26ft%3dptlogin%26ss%3d%26validcnt%3d%26clientaddr%3d2198400585%40qq.com&f_url=&ptlang=2052&ptredirect=101&aid=522005705&daid=4&j_later=0&low_login_hour=0&regmaster=0','1','登录成功!', 'QQ');
     
     
    分析以上两种方法,采用非对称式(公/私钥)加密方法较为安全,已建议APP小组研发采用RSA非对称加密,使用HTTPS实现登录
     

    转载请注明出处:Findyou

  • 相关阅读:
    ZJU 1610
    zju1484
    字符串赋值与初始化
    内核线程、内核级线程(轻量级进程)和用户级线程
    Mysql基础
    结构体的sizeof
    对象属性值读取问题
    返回引用类型
    操作符重载为成员函数、非成员函数与友元函数的区别
    运算符优先级
  • 原文地址:https://www.cnblogs.com/findyou/p/3244917.html
Copyright © 2011-2022 走看看