HTTP请求中的密码传输问题小结

最新推荐文章于 2024-05-28 14:03:00 发布
最新推荐文章于 2024-05-28 14:03:00 发布
阅读量2.5k 收藏 1
点赞数
文章标签: python
原文链接:https://my.oschina.net/mengzhang6/blog/1840777
版权

2019独角兽企业重金招聘Python工程师标准>>> hot3.png

登录网站时,输入登录名、密码,用 抓包工具 抓一下包就知道密码是否进行加密。
一般HTTP访问密码以明文传输,https 或者SSL是加密的。

为什么站点使用了https加密之后,还是能够用firebug之类的软件查看到提交到的信息,密码显示的还是明文的?
这是因为:https(ssl)加密是发生在应用层与传输层之间,所以在传输层看到的数据才是经过加密的,而我们捕捉到的http post,是应用层的数据,此时还没有经过加密。这些明文信息,其实就是你的本地数据。
加密数据只有客户端和服务器端才能得到明文,客户端到服务端的通信过程是安全的。
可能有些读者会对此表示担忧了:这样的话密码不是会被本地恶意软件截获么?只能说的确存在这样的可能。
不过在银行电商等安全防护程度较高的网站,除了https加密外,还有安全控件加密,用户必须下载安全控件后才能输入密码。

转载于:https://my.oschina.net/mengzhang6/blog/1840777

weixin_34122604
关注
  • 0
    点赞
  • 1
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
PHP代码审计小结1
08-03
- 在找回密码流程,使用不可预测的token,并确保其安全存储和传输。 在进行PHP代码审计时,还需要关注其他安全问题,如XSS跨站脚本、SQL注入、CSRF跨站请求伪造、SSRF服务器端请求伪造等,以及第三方组件的安全性...
常用的网络协议小结
10-01
网络协议是互联网的基础,它们规定了数据在网络传输方式和规则。以下是一些常见的网络协议的详细介绍: 1. ARP(Address Resolution Protocol)地址解析协议:ARP是用于将IP地址转换为物理(MAC)地址的协议。...
HTTP超文本传输协议详解
weixin_39455125的博客
06-17 1281
HTTP、 HTTPS、 HTTP/1.1、HTTP/2、HTTP/3
http通讯过程,如何实现非对称加密传输对称加密密钥
qq_31088019的博客
07-09 1430
从输入网址到显示出来的过程,http和https相关知识点
HTTP的系统登录页面,如何避免明文传输用户密码
最新发布
gzyes
05-28 783
对于系统登录页面来说,我们作为开发人员,应该没有陌生的吧。就像下面这样子。 点击登录,调用/login 接口。来看下面截图的 载荷(payload)数据,其密码 password 的值是明文。 如果你的站点使用的是HTTPS协议,配置了有效的SSL证书,那将很好。HTTPS通过SSL/TLS协议建立安全的加密通信通道,确保传输过程的数据被加密。这样,用户在登录页面输入的密码将在传输...
HTTP基础
chinusyan的专栏
10-20 341
HTTP状态码 HTTP状态码由三个十进制数字组成,第一个十进制数字定义了状态码的类型,后两个数字没有分类的作用。HTTP状态码共分为5种类型: 1** 信息,服务器收到请求,需要请求者继续执行操作 2** 成功,操作被成功接收并处理 3** 重定向,需要进一步的操作以完成请求 4** 客户端错误,请求包含语法错误或无法完成请求 5** 服务器错误,服务器在处理请求的过程发生了错误 ...
HTTP请求携带用户密码验证
weixin_43960336的博客
10-12 7252
在java操作es时,可以使用HTTP请求的方式来连接es,一般es是没有密码限制的。但当es设置了用户名密码限制的时候我们需要在HTTP请求携带用户名和密码,如何在HTTP请求携带用户名密码,直接上代码 public class HttpUtils { public static String sendPost(String url, String param) { OutputStreamWriter out = null; BufferedReader in
http和https
m0_49027290的博客
07-09 283
http和https 前言 HTTP协议用于在Webl浏览器和服务器之间传递信息,HTTP是以明文的方式发送内容,不进行任何的数据加密。如果攻击者截取客户端和服务端之间的传输报文可以直接读懂其的信息,所以HTTP不能够传输一些敏感信息。 为了解决HTTP协议的缺陷,使用了HTTPS协议。HTTPS协议是在HTTP的基础上加入了SSL/TLS协议,利用SSL/TLS来加密数据包。实现了对网站服务器的身份认证、保护了交换数据的秘密性和数据的完整性。 HTTP与HTTP的主要区别 HTTP使用明文传输,数据不
前后端常见的几种鉴权方式(小结)
10-16
鉴权在IT行业是保障系统安全的关键环节,尤其是在前后端分离的架构,确保用户身份的合法性至关重要。本文将详细探讨前后端常见的四种鉴权方式:HTTP Basic Authentication、session-cookie、Token验证以及OAuth...
系统分析师——Kerberos 小结
09-22
这个协议的核心目标是防止未经授权的访问,包括窃听和重放攻击,同时保证数据传输的完整性。Kerberos的设计理念是基于一个可信赖的第三方,即密钥分发心(KDC),由两个主要组件构成:认证服务器(AS)和票证授予...
java结课设计,一款完全基于servlet的网盘系统.zip
08-08
【Java 结课设计:完全基于Servlet的网盘系统】 在IT领域的毕业设计,选择基于Servlet的网盘系统作为项目,既能够展示Java Web开发能力,又能够涉及到文件存储、管理与分享等实用功能。本设计的核心是使用Servlet...
http请求带用户名和密码验证
DK微风的博客
04-30 3万+
发送http请求往往需要带用户名和密码,服务端进行授权验证 实现方式是将将用户名和密码放到请求头里面,采用BasicAuthenticationScheme ,译为基本授权方案,想要了解的可以自己查查 下面是客户端和服务端的实现 客户端实现: public void httpSetAuth() throws IOException { String url3="ht...
http密码明文传输之AES前后端对称加密
yukuleshui的博客
05-07 2446
描述 高级加密标准(AES,Advanced Encryption Standard)为最常见的对称加密算法,对称加密算法即加密和解密的过程使用同一个秘钥进行加密。 需求分析 前端post账号密码时,需要对密码进行加密,而不是使用密码明文进行传输,防止http请求被人截获而获取到用户的信息,AES对称加密就是一种方式,前端对密码进行加密,传输给后端,后端获取之后使用和前端约定好的秘钥进行解密。 前端AES加解密 前端加密需要引入crypto-js库,crypto-js是加密标准的JavaScript库,实现
用HttpPost登陆验证时,用户名和密码放在请求头部header的处理方法,形式为Authorization: username password。
热门推荐
u013136708的专栏
11-17 9万+
 post.setHeader("Authorization", "your token"); 这里主要是要
HTTP、HTTPS 加密过程
weixin_43294560的博客
08-29 3417
http: 超文本传输协议,是一个基于请求与响应,无状态无连接的,应用层的协议,常基于TCP/IP协议传输数据 无状态:协议对客户端没有状态存储,对事物处理没有“记忆”能力,比如访问一个网站需要反复进行登录操作 无连接:HTTP/1.1之前,由于无状态特点,每次请求需要通过TCP三次握手四次挥手,和服务器重新建立连接。比如某个客户机在短时间多次请求同一个资源,服务器并不能区别是否已经响应过用户的请求,所以每次需要重新响应请求,需要耗费不必要的时间和流量。 基于请求和响应:基本的特性,由客户端发起请求,服务
如何基于HTTP设计一个加密解密系统
azurelaker的博客
11-13 3258
对方的
http协议为何不安全?教你使用抓包抓取到登录时输入的账号密码
m0_59598029的博客
02-19 844
而且这种已经属于Base64编码加密过的数据,有些http包数据直接就是明文显示:user=xxx&password=xxxx,甚至不需要解码,更加的不安全。这里我整合并且整理成了一份【282G】的网络安全从零基础入门到进阶资料包,需要的小伙伴可以扫描下方CSDN官方合作二维码免费领取哦,无偿分享!因此,“%3D%25%25%25” 实际上是被编码的 “=%%%” 字符串。将 “%25%25%25” 转换为 “%%%”,就得到了。“=%%%”,这是一个编码后的分隔符,用于分隔两个编码的值。
HTTP加密
weixin_52669146的博客
05-03 2435
首先篡改整个证书是可行的,因为改CA机构的A公钥大家都有,但是这样的话就无法重新形成数字签名了,因为这个数字签名是CA机构自己用-A私钥生成的。在通信前,server端将自己的公钥S给到client端,然后client端用这个公钥S给自己的私钥-C进行加密,传输给server端,这是非对称方式的通信。这也是有证书和无证书的很大差别,如果没有证书的话,client端并不会知道自己获得的公钥是否是自己想要的,但是有了证书以后就能通过域名知道是否合法。生成会话密钥:客户端生成一个随机的对称密钥,称为会话密钥。
一种基于http协议的敏感数据传输方案
weixin_33753845的博客
01-11 1009
最近公司需要通过公网与其它平台完成接口对接,但是基于开发时间和其它因素的考虑,本次对接无法采用https协议实现。既然不能用https协议,那就退而求其次采用http协议吧! 那么问题来了!在对接的过程我们需要对如下问题进行相关的考虑: 1、敏感信息的不可见性   使用http协议传输数据很容易被抓包监听传输内容,如果这些数据存在敏...
Android Http请求实验小结
06-09
好的,以下是我给出的 Android Http请求实验小结: Android Http请求实验小结 在Android进行网络请求,可以使用HttpURLConnection或HttpClient等方式。其,HttpURLConnection是Android SDK提供的基于HTTP协议...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值