admin 管理员组

文章数量: 1103785

1. 用网页登录飞信的网站(这里显示的是https,但是在传输密码时没有加密 ): https://webim.feixin.10086/

2. 使用firebug可是看到它使用的是https://webim.feixin.10086/js/login.js?2010121001 来实现登录的。

    具体的source不贴出来的,但是关键的部分如下:

 

3. 从source中可以看到它是通过ajax 用post方法将数据传输到server的,但是使用firebug查看的话,

    它是将密码明文发送的,所以会有中间人攻击的可能,尤其是公司是经过代理上网的,管理员在代理服务器上

    可以通过http post数据得到用户的密码

4. 例子如下:

 

POST /WebIM/Login.aspx HTTP/1.1

UserName=13468718000 &Pwd=aaaaaaaaaa &Ccp=8kvs&OnlineStatus=400

^用户的手机号码(这里是随便输入的)  ^密码

 

看来网上安全需要注意,我还尝试了renren和web.qq。

renren也是通过明文来传输密码的,但是web.qq不是,它是通过md5算法散列的, 关键的一行是

"H += md5(md5_3(B.p.value) + G);"

                              ^密码           ^verifycode(可以通过http get 数据获得)

 

例如,一个web qq登录请求:

GET /login?u=555555555&p=F018505DE8B66FBCB8CD7F1A04101870&verifycode=!AG0&remember_uin=1&aid=1003903&u1=http%3A%2F%2Fweb.qq%2Floginproxy.html%3Flogin_level%3D3&h=1&ptredirect=0&ptlang=2052&from_ui=1&pttype=1&dumy=&fp=loginerroralert&mibao_css= HTTP/1.1

 

密码"111111111"经过4次md5散列后的变成了"F018505DE8B66FBCB8CD7F1A04101870", verifycode是:!AG0

 

refs: js beauty online 很好用  http://jsbeautifier/?

 

----

https://mail.qq 也是通过明文来传输密码的,例如,一个登录请求:

POST /cgi-bin/login?sid=,2,zh_CN HTTP/1.1

sid=%2C2%2Czh_CN&firstlogin=false&starttime=1303269953187&redirecturl=&f=html&p=111111&ept=0&delegate_url=&s=&ts=1303269964&from=&ppp=&chg=0&target=&checkisWebLogin=9&uin=dddd&aliastype=@qq&pp=000000&verifycode=

uin=dddd 是用户名, p=111111是密码

本文标签: 安全问题 网页 版飞信 Fetion

版权声明:本文标题:网页版飞信(Fetion)的安全问题 内容由网友自发贡献,该文观点仅代表作者本人, 转载请联系作者并注明出处:http://www.520sys.cn/xp/1754994932a1454733.html, 本站仅提供信息存储空间服务,不拥有所有权,不承担相关法律责任。如发现本站有涉嫌抄袭侵权/违法违规的内容,一经查实,本站将立刻删除。