Bug 曝光台 关于 JD 商城,PC 网页登录使用明文传输用户名和密码的问题。

0x7C00 · 2016年03月09日 · 最后由 渣渣儿 回复于 2016年03月11日 · 2663 次阅读

一 问题:
jd,PC 网页登录明文传输用户名和密码

二 fiddle 抓包记录

uuid=29c0c943-5664-4188-b931-88f20202cd05&machineNet=&machineCpu=&machineDisk=&eid=6eab67f44b7e4123aec0c743a6b3579f1950860744&fp=6290aea2fa288920543d95e15da15b77&_t=_ntOfyOO&VeNthJVJIF=mstkt&loginname=xie_0723'''&nloginpwd=XXXXXXX&loginpwd=XXXXXXX&'''chkRememberMe=on&authcode=

三 获取方法

1:找到用来登录的 request

https://passport.jd.com/uc/loginService?uuid=29c0c943-5664-4188-b931-88f20202cd05&ReturnUrl=http%3A%2F%2Fwww.jd.com%2F&r=0.11638203333131969&version=2015

2:找到后,直接拖拽到 Composer 中
3:在 Composer 可以看到, 登录是使用 POST 方法,登录账号和密码都在下方的 UUID 中。

作为对比,看下淘宝的登录。

TPL_username=xie_0723&TPL_password=&ncoSig=&ncoSessionid=&ncoToken=97800ba781f3d69e4c8bda43dab1883622a27083&slideCodeShow=false&loginsite=0&newlogin=0&TPL_redirect_url=https%3A%2F%2Fwww.taobao.com%2F&from=tb&fc=default&style=default&css_style=&keyLogin=false&qrLogin=true&newMini=false&newMini2=false&tid=&loginType=3&minititle=&minipara=&umto=NaN&pstrong=&sign=&need_sign=&isIgnore=&full_redirect=&popid=&callback=&guf=&not_duplite_str=&need_user_i
................

可以看到淘宝是有加密的。
影响
建议亲们,尽量别使用公共 WIFI,或者是连接一些不安全的 WIFI,可能会造成密码的泄露,尤其是喜欢购物的妹纸,在咖啡店或者 KFC 点餐的时候,也不忘记购物。囧- -。


备注:第一次发 bug 的帖子,不知道 markdown 格式是否规范或者写错了,请提醒我哈,我好及时改正,这个也是自己平时学习 fiddler,偶然发现的。学以致用。o(∩_∩) o

如果觉得我的文章对您有用,请随意打赏。您的支持将鼓励我继续创作!
共收到 15 条回复 时间 点赞

平安貌似也是明文的

app 有抓包没,是不是明文

0x7C00 #13 · 2016年03月09日 Author

#2 楼 @tobecrazy APP 暂时还没。

#1 楼 @monkey 加密成本很高吗?

#4 楼 @xie_0723 这个是 web 那些人估计觉得没有必要。app 理论上都有的

估计是那个前端脑残了。开了调试

产品做的好不好, 体现在细节上的.

#1 楼 @monkey 而且提出了也不会改

关于 “影响
建议亲们,尽量别使用公共 WIFI,或者是连接一些不安全的 WIFI,可能会造成密码的泄露,尤其是喜欢购物的妹纸,在咖啡店或者 KFC 点餐的时候,也不忘记购物。囧- -。”

建议楼主去查看一下 https 协议 的百度百科 再来说

0x7C00 #10 · 2016年03月09日 Author

#9 楼 @huhu 对于 https 协议不太清楚,我去看下,但是 jd 的登录是 使用的 HTTPS 的协议哦。
我不太懂你说的 point 在哪?囧- -!

https://passport.jd.com/uc/loginService?uuid=29c0c943-5664-4188-b931-88f20202cd05&ReturnUrl=http%3A%2F%2Fwww.jd.com%2F&r=0.11638203333131969&version=2015

http://bbs.csdn.net/topics/391035657?page=1

转载 4 楼的说法
https 抓包的原理就是抓包程序将服务器返回的证书截获
然后给客户端返回一个它自己的证书
客户端发送的数据抓包程序用自己的证书解密
然后再用截获的证书加密,再发给服务器
所以你在能看到明文

看了一下楼上的讨论,貌似是说楼主的测试前提是自己的机器登陆时抓自己的包?如果是同一局域网的其他设备的登陆请求,如何抓他的包呢?

#12 楼 @jamesparagon 可以到路由器配防火墙规则,所有包转发给抓包工具的代理服务器。总而言之你有了局域网路由器的控制权,你就能抓这个网络进出的所有包。当然能不能解是另一回事。

我觉得应该是 web 开发觉得用了 https 就足够安全了,所以就不另外做加密了。

同意 @seveniruby 说的,这就是细节做得不够好。

早都解决了吧

—— 来自 TesterHome 官方 安卓客户端

需要 登录 后方可回复, 如果你还没有账号请点击这里 注册