测试基础 postman 中的使用解密报错

皮卡丘 · 2021年01月26日 · 最后由 皮卡丘 回复于 2021年01月26日 · 5534 次阅读

为什么在 postman 中使用在线解密工具的密码进行登录会报错,而抓包出来的密码就可以登录,(开发人员的解密和加密的方法就是在线解密中的参数)

共收到 13 条回复 时间 点赞

你的意思是同一串信息,不同的来源(解密/抓包),然后抓包的就可以直接使用登录吗?

就是同样的密码登录,用在线工具把密码加密后放在 postman 中登录,为什么登录不了

你抓包的是加密数据,你用解密之后的数据去请求肯定不行啊。数据传到后台不是还要另外解密一次么。

liumomo 回复

用解密工具加密这个密码后再把这个密码代换到 postman 中登录,还需要后台加密的?

1234567890 还是 12345678920?写错了?

上枫 回复

是 1234567890,打多一个 2 了

皮卡丘 回复

抓包的能登录,在线解密的不能登录;抓到的数据和在线解密的数据不一致?如果不一致,找开发确认加密方式

上枫 回复

在线加密就是开发给的参数,在线加密后的密码放在 postman 中登录失败。是不是加密后的密码都要经过后台处理的

皮卡丘 回复

不需要。。我的理解是,调用登录接口,你说的抓包,看你的截图,应该是安卓端登录,例如你输入密码 1234567890,安卓进行加密,调用登录接口,传的 pwd 是 xxxxxx;你所说的在线加密平台,我理解的是,安卓开发告诉你的他使用的加密方式,所以你在加密平台使用开发提供的密码方式给 1234567890 加密,应该得到的加密后也是 xxxxxx,如果不一致,去找开发,确认加密方式

皮卡丘 回复

正常后台密码加密会加盐的,也就是给你的密码后面加一个随机字符串(这个字符串会存数据库,每次自动加上)后再进行加密。防止用户简单密码被爆库后直接被用字典破解。

你问下是不是有做加盐?如果没有,那就要再确认下开发的加密方法,最好把加密方法相关源码拿到,加各种日志进行调试确认,避免开发有些细节没同步到位。

陈恒捷 回复

我方向好像错了,忽略我。。。

9 楼说得对,不一样的话就找开发再确认加密方法是不是一样的,最好拿到源码方便了解全部细节。加密算法一般是写好后其他人直接用的,有可能后面的人对这个算法了解得不是太透彻。

上枫 回复

好的,谢谢

陈恒捷 回复

好的,谢谢,大概明白了

需要 登录 后方可回复, 如果你还没有账号请点击这里 注册