http协议为何不安全?教你使用抓包抓取到登录时输入的账号密码!

这篇具有很好参考价值的文章主要介绍了http协议为何不安全?教你使用抓包抓取到登录时输入的账号密码!。希望对大家有所帮助。如果存在错误或未考虑完全的地方,请大家不吝赐教,您也可以点击"举报违法"按钮提交疑问。

前言

大家可以发现,在2023年,基本上需要用户输入数据的网站都是使用https协议,简单来说就是比http更安全,使用了更高级的加密方式,即使部分网站使用http协议,用户输入数据也会使用哈希函数或者其他加密方式,http协议为什么不安全呢?我们不妨亲自抓包感受一下,自己输入的账号密码可以直接被获取,我最近正在学习网络的东西,老师在课堂演示了一遍,我觉得很有意思,于是自己找了一个网站试一下,如果有什么问题欢迎大家批评指正。
抓包软件:科来(wireshark比较流行,科来全中文界面,而且可以帮你分析数据,对于初学者来说比较友好)

1、先设置过滤条件,只捕获http的数据包

http协议为何不安全?教你使用抓包抓取到登录时输入的账号密码!

http协议为何不安全?教你使用抓包抓取到登录时输入的账号密码!

2、点击上方的TCP会话

http协议为何不安全?教你使用抓包抓取到登录时输入的账号密码!

3、打开网站(我这里随便找了一个学校官网)

账号我随便写了一个当天日期,2023年4月1日,密码是123456,验证码是a7ru,然后点击登录

http协议为何不安全?教你使用抓包抓取到登录时输入的账号密码!

然后系统提示账号密码错误,不过没关系,本来就是编的。

http协议为何不安全?教你使用抓包抓取到登录时输入的账号密码!

4、打开科来查看

ok,我们发现有两条记录,一般是数据比较大的那一个会有我们的账号密码,我们点击第一个

http协议为何不安全?教你使用抓包抓取到登录时输入的账号密码!

URL中,POST是提交账号密码的,我们点击POST的那一行,下一步点击数据流,科来会自动帮你分析:

http协议为何不安全?教你使用抓包抓取到登录时输入的账号密码!文章来源地址https://www.toymoban.com/news/detail-465196.html

然后会发现这么一行数据:

userAccount=&userPassword=&RANDOMCODE=a7ru&encoded=MjAyMzA0MDE%3D%25%25%25MTIzNDU2

这行数据有一个关键字:password,而且那个a7ru是不是很眼熟?没错,就是我们当时输入账号密码的时候那个验证码,那也就是说着一行数据就有我们的账号密码,但是我们该如何分析呢?

userAccount:用户账号,值为空
userPassword:用户密码,值为空
RANDOMCODE:随机码,值为a7ru
encoded:编码值,值为MjAyMzA0MDE%3D%25%25%25MTIzNDU2

这个字符串经过了 Base64 编码,并且包含了一个编码后的分隔符 “%%%”,当一个字符串包含百分号 “%” 时,通常表示它经过了 URL 编码,即使用特殊的编码方式将特殊字符转换为可在 URL 中安全传输的形式。在 URL 编码中,字符 “%” 用 “%25” 表示。因此,“%3D%25%25%25” 实际上是被编码的 “=%%%” 字符串。将 “%25%25%25” 转换为 “%%%”,就得到了 “=%%%”,这是一个编码后的分隔符,用于分隔两个编码的值。

MjAyMzA0MDE%3D%25%25%25MTIzNDU2 -> MjAyMzA0MDE%%%MTIzNDU2

然后将编码后的字符串部分 “MjAyMzA0MDE” 和"MTIzNDU2"解码,可以使用任何 Base64 解码工具或库进行解码:

MjAyMzA0MDE->20230401
MTIzNDU2->123456

因此,完整的解码后的字符串为 “20230401%%%123456”。是不是和我们账号密码一模一样嘞,如果我们连到了别人网络,别人可以通过这种方式抓取你的数据包,从而得到你的账号密码。而且这种已经属于Base64编码加密过的数据,有些http包数据直接就是明文显示:user=xxx&password=xxxx,甚至不需要解码,更加的不安全。

到了这里,关于http协议为何不安全?教你使用抓包抓取到登录时输入的账号密码!的文章就介绍完了。如果您还想了解更多内容,请在右上角搜索TOY模板网以前的文章或继续浏览下面的相关文章,希望大家以后多多支持TOY模板网!

本文来自互联网用户投稿,该文观点仅代表作者本人,不代表本站立场。本站仅提供信息存储空间服务,不拥有所有权,不承担相关法律责任。如若转载,请注明出处: 如若内容造成侵权/违法违规/事实不符,请点击违法举报进行投诉反馈,一经查实,立即删除!

领支付宝红包 赞助服务器费用

相关文章

  • 2.5 - 网络协议 - HTTP协议工作原理,报文格式,抓包实战

    「作者主页」: 士别三日wyx 「作者简介」: CSDN top100、阿里云博客专家、华为云享专家、网络安全领域优质创作者 「推荐专栏」: 对网络安全感兴趣的小伙伴可以关注专栏《网络安全入门到精通》 HTTP(Hypertext Transfer Protocol)是 「超文本传输协议」 ,基于B/S架构(Browser

    2024年02月05日
    浏览(51)
  • 短视频ks(某手)高版本最新抓包方案,教你用hook大法绕过QUIC协议

    一般大多数网站、APP最常用的是http、https协议,而某两款最火的短视频dy(某音)、ks(某手)最新版使用的是quic协议(见附录1),导致fiddler和charles无法直接抓到包(某手7版本以下可以直接抓到包)。 网上有说用fiddler + xposed + justTrustMe能绕过某音的sslpinning,呵呵,别傻了

    2023年04月11日
    浏览(48)
  • Wireshark抓取网卡协议分析(TCP,UDP,ARP,DNS,DHCP,HTTP超详细版本)

    使用wireshark工具抓取ping命令操作 选择本机网卡WLAN,点击开始,开始抓包 在数据列表区中选取TCP协议,在数据详细区中显示出其详细信息 (1)Frame: 物理层的数据帧概况 (2)Ethernet II: 数据链路层以太网帧头部信息 (3)Internet Protocol Version 6: 互联网层IP包头部信息 (4)Tra

    2024年02月08日
    浏览(45)
  • 网络安全:WireShark 抓包及常用协议分析

    打开kali终端进入wireshark 进入到wireshark点击选项 勾选选项混杂模式开始抓包 进入终端打开火狐,打开百度进行抓包 这时我们抓到了很多类型的数据包 上方的过滤器可以指定类型数据宝或者指定源地址目标地址等等,例如现在抓取arp协议的数据包 我们ping一个地址 我们可以用

    2023年04月08日
    浏览(55)
  • web安全学习笔记【06】——http\https抓包

    思维导图放最后 #知识点: 1、Web常规-系统中间件数据库源码等 2、Web其他-前后端软件Docker分配站等 3、Web拓展-CDNWAFOSS反向负载均衡等 ----------------------------------- 1、APP架构-封装原生态H5flutter等 2、小程序架构-WebH5JSVUE框架等 ----------------------------------- 1、渗透命令-常规命令文

    2024年01月24日
    浏览(47)
  • 安全学习DAY06_抓包技术-HTTP&HTTPS

    HTTPHTTPS抓包针对WebAPP小程序PC应用等 本节目的: 掌握几种抓包工具证书安装操作 掌握几种HTTPHTTPS抓包工具的使用 学会Web,APP,小程序,PC应用等抓包 了解本节课抓包是针对哪些目标协议 Charles(茶杯) https://www.charlesproxy.com/ 是一个HTTP代理服务器,HTTP监视器,反转代理服务器,

    2024年02月15日
    浏览(41)
  • 无线空中包抓包教程:使用vmware虚拟机的ubuntu系统,通过tcpdump抓取无线空中包

    在实际抓取空中包的过程中,对应网卡的windows驱动往往不支持抓包(或者只能购买购物网站上的性能不大行的所谓windows专用抓包工具,其实这从底层上看是不合理的,就算找客服问,他们往往也无法准确回答),而这种抓包的方式在linux系统上更容易开发(甚至原生就支持)

    2024年01月25日
    浏览(42)
  • web安全学习笔记【07】——非http\https抓包

    #知识点: 1、Web常规-系统中间件数据库源码等 2、Web其他-前后端软件Docker分配站等 3、Web拓展-CDNWAFOSS反向负载均衡等 ----------------------------------- 1、APP架构-封装原生态H5flutter等 2、小程序架构-WebH5JSVUE框架等 ----------------------------------- 1、渗透命令-常规命令文件上传下载 2、反

    2024年02月19日
    浏览(53)
  • 高并发数据抓取实战:使用HTTP爬虫ip提升抓取速度

    又到每天一期学习爬虫的时间了,作为一名专业的爬虫程序员,今天要跟你们分享一个超实用的技巧,就是利用HTTP爬虫ip来提升高并发数据抓取的速度。听起来有点高大上?别担心,我会用通俗易懂的话来和你们说,让你们秒懂怎么操作的。 首先,咱们得理解一下为什么HT

    2024年02月11日
    浏览(50)

觉得文章有用就打赏一下文章作者

支付宝扫一扫打赏

博客赞助

微信扫一扫打赏

请作者喝杯咖啡吧~博客赞助

支付宝扫一扫领取红包,优惠每天领

二维码1

领取红包

二维码2

领红包