Bug 曝光台 Testhome 登陆账户密码明文传输吗?

Weilai918 · 2018年08月28日 · 最后由 arrow 回复于 2018年09月06日 · 2365 次阅读

共收到 10 条回复 时间 点赞

一般来讲,我们是信任 HTTPS 的安全性的。
你抓包看到了,是因为你信任了自己的根证书。
如果是普通用户,一般是中了中间人攻击。

你的客户端和服务器建立的是一个受信任的链接,在建立 TCP 链接后,客户端和服务端就会初始化 SSL 层,对加密参数进行沟通,并交换密钥。之后双方可以进行通行了。所以 https 的请求,双方的客户端和服务端是知道密钥的,所以可以对内容进行加解密,但是传输过程中,第三方不知道密钥,所以截取到了也解密不了。

但是但是但是,如果你曾经用 fiddler 或者 charles 调试,替换过线上代码,那你就会了解到一个叫中间人攻击的东西,这个技术可以伪装成客户端和服务器进行通信,以盗取通信的内容(具体不展开了,搜索下,图文并茂的文章很多的)。比如你用了一个不安全的 Wi-Fi 什么的,就会有这个风险。所以,密码之类的,尤其设计到钱的,还是另外加密下吧。

12楼 已删除

改天看看把密码加密下

走 https 是行业默认的安全策略,已经可以防住你的密码不外泄了。 charles 和 fiddler 能拦截是依赖你本地要信任特定的证书,所以在你不信任非法证书之前,公网上传输数据是安全的。不过理论上要走向更高级别安全,在客户端也应该适当的单向加盐下。

这个问题已经修复了吗?我是用 github 登陆,只要我打开 FD ,就登陆不上呢

这个问题已经修复了吗?我是用 github 登陆,只要我打开 FD ,就登陆不上呢,不对,应该是我打开了 FD,不能上 github!

zkx 回复

那是你的环境问题吧

恒温 回复

是的,环境问题。
想请教大佬一个问题,如果通过 github 账号快捷登录,FD 抓包 https://testerhome.com/account/auth/github 可以获取到 github 账号密码吗?
我抓这个接口没有分析出来

zkx 回复

不能 auth2.0 授权,并不拿 github 的密码

zkx 回复

Oauth 的第三方是拿不到 github 的密码的,只会拿到一个 token

Weilai918 关闭了讨论 10月29日 13:48
需要 登录 后方可回复, 如果你还没有账号请点击这里 注册