1. 程式人生 > >登入密碼與HTTP Request

登入密碼與HTTP Request

  我們知道,在一些主流的瀏覽器中按F12,就會拉出一個檢視web訪問詳細資訊的視窗,在firefox中叫firebug,在chrome或者IE中,則叫developer tools,他們功能都大同小異,當然,比較重要的自然是檢視http request與response, 幸運的是,這三個工具都把其放在一個叫Network的tab下面,雖然顯示格式略有不同,但基本資訊都是一樣的。

當我們通過一個form提交資訊的時候,如果是GET方式,form中的資訊會以引數的形式附加在URL後面;如果是POST的方式,則包在request的body中,但不論是那種方式,form中的資訊,都會在http request中,而且可以用上面提到的工具檢視到:如果這個form恰好是個登陸框,或者是支付框,那麼你的使用者名稱與密碼自然也會出現在request中。

就此,我針對三類網站做了實驗:

tbUserName:test
tbPassword:test
btnLogin:登 錄
txtReturnUrl:http://home.cnblogs.com/

(原來的douban的例子是錯的,其登入頁面是https的)

雖然這兩個網站使用了https加密,但我們捕捉到的request,還是包含了密碼明文:

Form Data: authenticity_token:9fsgNlzbnOD.....=
login:test
password:test
commit:Sign in

原因在與https(ssl)的加密是發生在Application layer與Transportation layer之間,所以,在傳輸層看到的資料才是經過加密的,而我們捕捉到的http request的,自然是應用層的,是還沒經過加密的資料。

支付寶自然是https的,但是他的同時也增加了安全控制元件來保護密碼, 以前認為這個只是用來防鍵盤監聽的,其實,看下面http request截獲的密碼:這個安全控制元件把給request的密碼也先加了密,緊接著https再加次密,果然是和錢打交道的,安全級別高多了:)

Form Data: logonId:[email protected] password:EgUw11BHmg7obmQNCckbCd1b ekN5Jv7 Fw41MXVMicEVsF/ehu9hhwB6V8eBGfQvWA8IqHEGClCJ1C97qg5Rp1zQSHLAf1DkgR97b99VRJ3LRjLKywAaWgs1gjW2AS9S49rDw 5ERUh3vK021/I9DiubHKZS4NUzdhfb6Hz8 iWyh3lWBO/3rw9ehtug/1dQJ9oje2CUpM0cR9DPjiLikOIZ0JSr/yCCz68VzfHmgdE8Rr 4yqO6titkKGh0dYek0hCck6yQ2d7XAkd/3U1YA2B4EQ47qKVNpBdienXRfrOn Egu7JBoSfsqcnvAosvRC 94diCJ Grz7hW2GJjlg==

相關推薦

登入密碼HTTP Request

  我們知道,在一些主流的瀏覽器中按F12,就會拉出一個檢視web訪問詳細資訊的視窗,在firefox中叫firebug,在chrome或者IE中,則叫developer tools,他們功能都大同小異,當然,比較重要的自然是檢視http request與response,

mysql 登入修改密碼資料庫備份

1、mysql首次登入修改密碼 mysql -uroot -p(首次登入無密碼,按回車即可;如果無法登陸,修改mysql配置檔案,在[mysqld]最後一行加skip-grant-tables即可登入) update mysql.user set authentication_string=passwor

jmeter命令列執行生成報告 Jmeter Thread Group中如果存在HTTP request執行失敗,就對整個Thread Group重新執行,限定最大執行次數N次

轉自:http://www.cnblogs.com/kongzhongqijing/p/7216693.html 一、     使用命令列方式執行Jmeter 1.1 為什麼 使用GUI方式啟動jmeter,執行執行緒較多的測試時,會造成記憶

Django 2.0 專案實戰 (3): 使用者重置密碼退出登入

在之前兩篇文章中我們擴充套件了Django自帶的User模型並實現了使用者的登入與註冊,並同時實現了檢視和編輯使用者個人資料的功能。本文是Django實現使用者註冊登入系列教程的最後一篇,我們將會開發兩

wordpress密碼生成登入密碼驗證

一。研究wordpress時wordpess的密碼密碼生成與登入密碼驗證方式很重要 WordPress密碼已成為整合的首要目標,如何征服整合,就得了解WordPress密碼演算法。 WordPress系統的使用者密碼是儲存在wp_users資料表的user_pass欄位,密

單點登入系列之——HTTP請求Cookie講解

 HTTP、Cookie、Session      HTTP協議作為無狀態協議,無狀態並不陌生,EJB bean中就有有狀態、無狀態之分,對於HTTP協議而言,無狀態同樣指每次request請求

python利用hook技術破解https,抓取使用者名稱登入密碼

相對於http協議,https是的特點就是他的安全性,http協議的通訊內容用普通的嗅探器可以捕捉到,但是https協議的內容嗅探到的是加密後的內容,對我們的利用價值不是很高,所以一些大的網站----涉及到“大米”的網站,採用的都是http是協議。

Node.js中request模組http模組之間的區別

原文https://stackoverflow.com/questions/27783806/what-is-the-difference-between-request-and-http-modules-in-node-js http包含對原生HTTP協議的支援而requ

mac 免密碼登入伺服器密碼git提交

//本地執行 //生成key ssh-keygen -t rsa -C "你的Git註冊郵箱" -b 4096 //複製本地 id_rsa.pub cat ~/.ssh/id_rsa.pub //將cat的內容複製 //伺服器執行 //伺服器新增 vim /roo

VUE中登入密碼顯示隱藏的最簡設計——基於iview

#VUE中登入密碼顯示與隱藏的最簡設計——基於iview [toc] #1.背景 近期,在使用abp開發專案過程中,前端vue輸入登入密碼時預設隱藏,但是如果使用者輸錯密碼需要切換顯示跟隱藏。故有此文。 #2.實現最終效果 ##2.1 隱藏密碼 ![](https://img2020.cnblogs.

sockethttp的區別

單獨 計算機 是否 tcp協議 操作 end 不定 請求 釋放 1、TCP連接 手機能夠使用聯網功能是因為手機底層實現了TCP/IP協議,可以使手機終端通過無線網絡建立TCP連接。TCP協議可以對上層網絡提供接口,使上層網絡數據的傳輸建立在“無差別”的網絡之上。 建立起

Python urllib2 發送HTTP Request

urlencode sport dir use etc utf pytho enc tpc urllib2 是Python自帶的標準模塊, 用來發送HTTP Request的。 類似於 .NET中的, HttpWebRequest類 urllib2 的優點 Pyth

Unity3D 遊戲引擎之C#使用SocketHTTP連接server數據傳輸包

tco 類型 oba connect asp bre amp 客戶 star 近期比較忙。有段時間沒寫博客拉。近期項目中須要使用HTTP與Socket。雨松MOMO把自己這段時間學習的資料整理一下。有關Socket與HTTP的基礎知識MOMO就不贅述拉,不懂得朋友自己

node通過http.request向其他服務器上傳文件

.get 參考 header end csdn 其他 nod write new function upload(callback) { let boundaryKey = ‘----‘ + new Date().getTime(); // 用於標識請求數據

fsockopenHTTP 1.1/HTTP 1.0

fwrite 詳細 odi com 詳細介紹 區別 connect func 阻塞 在前面的例子中,HTTP請求信息頭有些指定了 HTTP 1.1,有些指定了 HTTP/1.0,有些又沒有指定,那麽他們之間有什麽區別呢? 關於HTTP 1.1與HTTP 1.0的一些基本情況

【轉】JMeter學習(二十五)HTTP屬性管理器HTTP Cookie Manager、HTTP Request Defaults

agen 讀取 expired fault 範圍 運行時 ear 定制 只有一個 Test Plan的配置元件中有一些和HTTP屬性相關的元件:HTTP Cache Manager、HTTP Authorization Manager、HTTP Cookie Manager

破解密碼反破解密碼(centos6)

passwd 一、一分鐘破解centos6密碼過程: ①進入內核選擇菜單時,按字母a進入。 ②在下面選中的行後添加s(大小寫都行)或者1。 ③進入單用戶界面,輸入命令passwd,修改密碼成功。 二、對密碼進行保護。 ①使用grub-md5-crypt成生md5密碼 ②打開/

Servlet生命周期HTTP協議

servlet http Servlet生命周期在web工程中每個Servlet類只會有一個實例化對象,這個實例化對象不能自己創建,只能由web服務器(Tomcat)來創建。這個實例化對象有一個生命周期,也就是所謂的Servlet生命周期。Servlet生命周期分為三個階段:初始化階段有兩種情況下會進

TCP/IP協議Http協議的區別

內容 發送請求 nfs bstr quest alibaba 數據包 緩存 med  TPC/IP協議是傳輸層協議,主要解決數據如何在網絡中傳輸,而HTTP是應用層協議,主要解決如何包裝數據。關於TCP/IP和HTTP協議的關系,網絡有一段比較容易理解的介紹:“我們在傳輸數

Python3 requestshttp.cookiejar的使用(cookie的保存加載)

style load 3.x python2 name cep 請求 ignore session 在學習Python之余,發現Python2與Python3 有很大的變化,之前使用urllib和cookielib來保存cookie,發現很繁瑣,於是改用requests。發