淘宝,购物者的天堂。每天更有数以万计的用户登陆购买商品,其背后的技术支持,能让我们愉快的购物。
而前段时间吵得很火的,数据包劫持能够分析到你的各种行为,其中不乏网站账号密码。而为什么他们没有劫持到淘宝的账号密码呢,总是拿别的小软件开涮呢?原因很简单,淘宝的密码在页面传输之前就进行了rsa加密(一种非对称的算法),传输的时候已经变为了已加密的密码了,就算你截取后,没有私有密钥也是解不开的,而且每次rsa加密后都会得到的不同密文,so,这既是为什么没人调戏淘宝的原因。
讲了这么多,先讲讲我是怎么找到加密算法那段代码的吧,适用于新手。
一、寻找rsa加密模块
用火狐浏览器,然后加firebug插件
选择属性改变时暂停
此时的password2也就是加密后密文
- 正常登录
输入账号密码后提交,此时浏览器会暂停起来。
一直F11,直接看到右边视图,然后点击右边第一行,再到左边点击箭头所选位置(JS格式化)。
再点F11, 就调到了RSA加密模块了。