前言
大家可以发现,在2023年,基本上需要用户输入数据的网站都是使用https协议,简单来说就是比http更安全,使用了更高级的加密方式,即使部分网站使用http协议,用户输入数据也会使用哈希函数或者其他加密方式,http协议为什么不安全呢?我们不妨亲自抓包感受一下,自己输入的账号密码可以直接被获取,我最近正在学习网络的东西,老师在课堂演示了一遍,我觉得很有意思,于是自己找了一个网站试一下,如果有什么问题欢迎大家批评指正。
抓包软件:科来(wireshark比较流行,科来全中文界面,而且可以帮你分析数据,对于初学者来说比较友好)
1、先设置过滤条件,只捕获http的数据包
2、点击上方的TCP会话
3、打开网站(我这里随便找了一个学校官网)
账号我随便写了一个当天日期,2023年4月1日,密码是123456,验证码是a7ru,然后点击登录
然后系统提示账号密码错误,不过没关系,本来就是编的。
4、打开科来查看
ok,我们发现有两条记录,一般是数据比较大的那一个会有我们的账号密码,我们点击第一个
URL中,POST是提交账号密码的,我们点击POST的那一行,下一步点击数据流,科来会自动帮你分析:
然后会发现这么一行数据:
userAccount=&userPassword=&RANDOMCODE=a7ru&encoded=MjAyMzA0MDE%3D%25%25%25MTIzNDU2
这行数据有一个关键字:password,而且那个a7ru是不是很眼熟?没错,就是我们当时输入账号密码的时候那个验证码,那也就是说着一行数据就有我们的账号密码,但是我们该如何分析呢?
userAccount:用户账号,值为空
userPassword:用户密码,值为空
RANDOMCODE:随机码,值为a7ru
encoded:编码值,值为MjAyMzA0MDE%3D%25%25%25MTIzNDU2
这个字符串经过了 Base64 编码,并且包含了一个编码后的分隔符 “%%%”,当一个字符串包含百分号 “%” 时,通常表示它经过了 URL
编码,即使用特殊的编码方式将特殊字符转换为可在 URL 中安全传输的形式。在 URL 编码中,字符 “%” 用 “%25”
表示。因此,“%3D%25%25%25” 实际上是被编码的 “=%%%” 字符串。将 “%25%25%25” 转换为 “%%%”,就得到了
“=%%%”,这是一个编码后的分隔符,用于分隔两个编码的值。
MjAyMzA0MDE%3D%25%25%25MTIzNDU2 -> MjAyMzA0MDE%%%MTIzNDU2
然后将编码后的字符串部分 “MjAyMzA0MDE” 和"MTIzNDU2"解码,可以使用任何 Base64 解码工具或库进行解码:
MjAyMzA0MDE->20230401
MTIzNDU2->123456
因此,完整的解码后的字符串为
“20230401%%%123456”。是不是和我们账号密码一模一样嘞,如果我们连到了别人网络,别人可以通过这种方式抓取你的数据包,从而得到你的账号密码。而且这种已经属于Base64编码加密过的数据,有些http包数据直接就是明文显示:user=xxx&password=xxxx,甚至不需要解码,更加的不安全。
学习计划安排
我一共划分了六个阶段,但并不是说你得学完全部才能上手工作,对于一些初级岗位,学到第三四个阶段就足矣~
这里我整合并且整理成了一份【282G】的网络安全从零基础入门到进阶资料包,需要的小伙伴可以扫描下方CSDN官方合作二维码免费领取哦,无偿分享!!!
如果你对网络安全入门感兴趣,那么你需要的话可以
点击这里👉网络安全重磅福利:入门&进阶全套282G学习资源包免费分享!
①网络安全学习路线
②上百份渗透测试电子书
③安全攻防357页笔记
④50份安全攻防面试指南
⑤安全红队渗透工具包
⑥HW护网行动经验总结
⑦100个漏洞实战案例
⑧安全大厂内部视频资源
⑨历年CTF夺旗赛题解析
# 学习计划安排
我一共划分了六个阶段,但并不是说你得学完全部才能上手工作,对于一些初级岗位,学到第三四个阶段就足矣~
这里我整合并且整理成了一份【282G】的网络安全从零基础入门到进阶资料包,需要的小伙伴可以扫描下方CSDN官方合作二维码免费领取哦,无偿分享!!!
如果你对网络安全入门感兴趣,那么你需要的话可以
点击这里👉网络安全重磅福利:入门&进阶全套282G学习资源包免费分享!
①网络安全学习路线
②上百份渗透测试电子书
③安全攻防357页笔记
④50份安全攻防面试指南
⑤安全红队渗透工具包
⑥HW护网行动经验总结
⑦100个漏洞实战案例
⑧安全大厂内部视频资源
⑨历年CTF夺旗赛题解析
9197
被折叠的 条评论
为什么被折叠?
到【灌水乐园】发言
