۞现在论坛发言、收发电子邮件,淘宝上买东西,都离不开账号和密码。你登录的那一刻是否想到,一次回车足以出卖你的账号和密码!怎么可能?别不信!别人简单的操作就可以看到你的登录密码,无论你的密码多么复杂。新浪账号、淘宝账号密码都可以轻易获取(ˋ^ˊ〉-#
密码登录原来是“皇帝的新装”
目前淘宝已经成为网络基础应用之一。如此重要的账号信息,难道可以轻松获得吗?在标准登录中,获得账号和密码易如反掌,如图1所示可以看出,使用简单的嗅探软件,就可以截获信息,账号和密码都一览无余。既然普通的登录容易被嗅探到,那么淘宝还有一种安全登录方式,能不能嗅探到呢?我们用一个实验来看看具体情况。
(图1)
实验1:为了方便起见,我们在本地实验。
第一步:首先停止任何其他上网工作,安装HttpWatch,在IE的“工具”里启动它,单击Record开始记录信息。打开淘宝页面,输入用户名和密码进行正常登录。此时可以看到HttpWatch窗口不停地跳动,不用管它。
第二步:单击Stop停止捕获信息,在上面定位到淘宝登录的选项(见图2),在下面单击POST Data选项卡就可以看到账户信息,在图2我们可以看出用户名,而密码居然是很长的一串字符。
(图2)
难道是嗅探软件失效了吗?当然不是,现在我们看到的字符是经过淘宝安全控件加密后的代码,这就保证了传输过程的安全。如果要看还原密码,只能拥有淘宝控件的解密才行。
按照淘宝的思路,密码经过了加密,别人不知道加密算法,即使获得了传输的字符,由于没有“钥匙”,也无法破解得到密码,从而无法登录淘宝网。果真如此吗?让我们再做一个实验。
小提示:本文所需软件请从此地址下载:http://work.newhua.com/cfan/200922/sygj.rar。
HttpWatch作为IE的一个插件,最主要的功能就是对通过浏览器发送的http请求进行
监控和分析。它能够极大减轻数据分析工作量,当捕获到数据之后,单击POST Data
选项卡就可以看到用户名和密码。
实验2:在做实验之前,要选择实验环境,由于新联通或者电信的PPPOE拨号软件影响实验的进行,我们选择的是无线环境,局域网也可以完成这个实验。
第一步:首先安装网站测试工具paros,单击IE“工具→internet 选项→连接→局域网设置”,代理的地址设置为:localhost,端口:8080,将IE的信息通过paros工具进行发送。
第二步:将实验1捕获的以POST开头内容保存为一个文本文件(单击HttpWatch的stream卡片,然后把内容复制,在记事本中保存接口)。做完以上工作后,在IE浏览器中打开淘宝网站,输入捕获的用户名,密码随便,不要单击登录。
第三步:单击paros的Trap,选择Trap request,对网页的请求进行单步执行,单击IE中的登录按钮后,你会发现paros的窗口在闪动,paros拦截了用户的请求,如图3所示。分别以刚才保存的文件替换以POST开头的请求头部分和以TPL_username开头的主体部分。单击contion后回到IE中,这这时候你看到什么现象了,居然已经登录到淘宝网站了(这也就是我们常说的重放攻击)。
(图3)
小提示:这个过程看起来很简单,不过这只是实验,为了便于说明问题,为实验搭配了很
多方便条件。实际中除非位于网吧或者无线环境中,捕获数据包不是很难,难度
在于数据量太大,你必须要分析到那条保护密码的数据包。而且截获的过程,还
要有人登录过。所以,从目前来看,账户信息是无法轻易获取的。而且本身这种
行为还受到法律的制约。
安全登录却百密一疏
现在你会觉得不可思议,其实过程很简单,这还要从我们登录的输入过程慢慢谈起。在淘宝的登录页面,我们单击“登录”后,之前输入的用户名和密码将进行简单地编码转换,使用标准的HTTP协议在网络中传送。这样,在信息通过的任意一个环节都可能得到这些消息,如网络管理员可以利用职务之便,在网关处得到;如果不是网络管理员,局域网的其他计算机还可以利用ARP欺骗技术,自己冒充网关得到;在没有加密的无线网络中,好似无线电广播,任何人都能够收听到。
你也许会问,收听到后又有什么用呢?在前面的实验中我们已经看到了,HttpWatch截获数据包后密码信息就会被暴露。HttpWatch就是一种嗅探器软件(嗅探器就是一个通过网卡捕获、分析网络数据的软件),它接受到数据包之后,再进行一次编码转换,把网络传输中的代码变为我们可以看得懂的文字,也就得到了刚才在页面中输入的用户名和密码,这个结果在图1中我们看得很清楚了。
由于淘宝在登录安全体制上的不成熟,导致可以利用重放攻击来登录。淘宝对登录密码的加密在安全输入控件中进行,网络中传送的数据包是用户名和加密后的密码。所以可以把这些信息截获,在以后的某一个特定的时间内,可以绕过输入控件,采用在网络中直接发送数据包的方式登录网站。
无独有偶 账号传输原来这么脆弱
现在你肯定有很多疑问,我们的数据传输就这么不安全吗?其实,实际情况比你想的还要糟。淘宝已经算是安全的了。账号输入过程的安全我们经常防备,账号传输过程实际却被忽视了,脆弱的很。在使用电子邮件、登录论坛的时候,通常默认使用普通的登录方式(例如新浪),传输方式为不加密,只需截取一下数据包就可以看到账号和密码(见图4)。
(图4)
淘宝的标准登录就是一个典型的普通登录。前面我们知道,用户和服务器采用标准的HTTP协议进行通信,由于HTTP协议本身不对通信过程的信息加密。在通信过程中的每个环节,特别是网关、局域网中,都可以轻易得到账户信息的数据包,从而造成用户密码的泄漏。而且,不加密的无线网络,工作方式类似传统的HUB,数据包更容易得到。由于无线网络的普及,很多无线用户没有起码的安全意识,在通信过程中不加密或者采取简单的WEP加密。这样,攻击者可以很容易采用无线sniffer捕获数据包。
登录小改进,安全一大步
我们不妨再按同样的方法来测试一下雅虎的邮箱登录,截获的数据如图5所示。从图中可以看出,截获后的帐户可以轻松显示,但密码变成了一堆看不懂的密文。这样,即使通信被截获,密码还有一定安全性。
雅虎也采用HTTP传输,也没有使用安全控件,这其中有什么秘密呢?究其原因,原来网站的页面上,采用了JavaScript技术,对输入的密码做一个单向不不可逆的变换,当然在服务器上也进行同样的变换。比如输入的密码为ABC,那么可以将其变换为BCD进行传输,这时如果进行截获,也只能截获BCD,从而保护了原始密码的安全。在登录的时候,服务器只需要比较加密后的登录的密码和服务器中加密后的密码是否相同即可。在实际使用中,一般要使用成熟的加密算法,例如MD5、SHA1等,由于这种变换是不可逆的,因此能够保证账户的安全。
(图5)
分析整个过程可以发现,多种原因造成了登录漏洞。由于淘宝网在与用户通信的时候,采用的是标准的http协议,没有对数据传输进行加密,从而暴露了加密后的密码。而在密文中,没有包含相应的随机数或者时间戳等预防重放攻击的信息,从而产生登录漏洞。这里也建议淘宝,一方面要改进加密体制和进行传输加密(如https协议),另外一方面要对登录密码和支付宝密码采用不同的加密方法或者强制用户使用不同的密码。
要实现登录的安全,服务厂商至少需要做两项工作:一是要采用类似银行那样的登录安全控件,确保本机不会被木马截获账户信息;其次是在整个连接过程中一定要采用HTTPS协议进行加密传输。那么我们平时就要选择安全登录模式,重要的密码一定要和平常使用的密码区分开,密码要定期变。@(一-一)@(一-一)
密码登录原来是“皇帝的新装”
目前淘宝已经成为网络基础应用之一。如此重要的账号信息,难道可以轻松获得吗?在标准登录中,获得账号和密码易如反掌,如图1所示可以看出,使用简单的嗅探软件,就可以截获信息,账号和密码都一览无余。既然普通的登录容易被嗅探到,那么淘宝还有一种安全登录方式,能不能嗅探到呢?我们用一个实验来看看具体情况。
(图1)
实验1:为了方便起见,我们在本地实验。
第一步:首先停止任何其他上网工作,安装HttpWatch,在IE的“工具”里启动它,单击Record开始记录信息。打开淘宝页面,输入用户名和密码进行正常登录。此时可以看到HttpWatch窗口不停地跳动,不用管它。
第二步:单击Stop停止捕获信息,在上面定位到淘宝登录的选项(见图2),在下面单击POST Data选项卡就可以看到账户信息,在图2我们可以看出用户名,而密码居然是很长的一串字符。
(图2)
难道是嗅探软件失效了吗?当然不是,现在我们看到的字符是经过淘宝安全控件加密后的代码,这就保证了传输过程的安全。如果要看还原密码,只能拥有淘宝控件的解密才行。
按照淘宝的思路,密码经过了加密,别人不知道加密算法,即使获得了传输的字符,由于没有“钥匙”,也无法破解得到密码,从而无法登录淘宝网。果真如此吗?让我们再做一个实验。
小提示:本文所需软件请从此地址下载:http://work.newhua.com/cfan/200922/sygj.rar。
HttpWatch作为IE的一个插件,最主要的功能就是对通过浏览器发送的http请求进行
监控和分析。它能够极大减轻数据分析工作量,当捕获到数据之后,单击POST Data
选项卡就可以看到用户名和密码。
实验2:在做实验之前,要选择实验环境,由于新联通或者电信的PPPOE拨号软件影响实验的进行,我们选择的是无线环境,局域网也可以完成这个实验。
第一步:首先安装网站测试工具paros,单击IE“工具→internet 选项→连接→局域网设置”,代理的地址设置为:localhost,端口:8080,将IE的信息通过paros工具进行发送。
第二步:将实验1捕获的以POST开头内容保存为一个文本文件(单击HttpWatch的stream卡片,然后把内容复制,在记事本中保存接口)。做完以上工作后,在IE浏览器中打开淘宝网站,输入捕获的用户名,密码随便,不要单击登录。
第三步:单击paros的Trap,选择Trap request,对网页的请求进行单步执行,单击IE中的登录按钮后,你会发现paros的窗口在闪动,paros拦截了用户的请求,如图3所示。分别以刚才保存的文件替换以POST开头的请求头部分和以TPL_username开头的主体部分。单击contion后回到IE中,这这时候你看到什么现象了,居然已经登录到淘宝网站了(这也就是我们常说的重放攻击)。
(图3)
小提示:这个过程看起来很简单,不过这只是实验,为了便于说明问题,为实验搭配了很
多方便条件。实际中除非位于网吧或者无线环境中,捕获数据包不是很难,难度
在于数据量太大,你必须要分析到那条保护密码的数据包。而且截获的过程,还
要有人登录过。所以,从目前来看,账户信息是无法轻易获取的。而且本身这种
行为还受到法律的制约。
安全登录却百密一疏
现在你会觉得不可思议,其实过程很简单,这还要从我们登录的输入过程慢慢谈起。在淘宝的登录页面,我们单击“登录”后,之前输入的用户名和密码将进行简单地编码转换,使用标准的HTTP协议在网络中传送。这样,在信息通过的任意一个环节都可能得到这些消息,如网络管理员可以利用职务之便,在网关处得到;如果不是网络管理员,局域网的其他计算机还可以利用ARP欺骗技术,自己冒充网关得到;在没有加密的无线网络中,好似无线电广播,任何人都能够收听到。
你也许会问,收听到后又有什么用呢?在前面的实验中我们已经看到了,HttpWatch截获数据包后密码信息就会被暴露。HttpWatch就是一种嗅探器软件(嗅探器就是一个通过网卡捕获、分析网络数据的软件),它接受到数据包之后,再进行一次编码转换,把网络传输中的代码变为我们可以看得懂的文字,也就得到了刚才在页面中输入的用户名和密码,这个结果在图1中我们看得很清楚了。
由于淘宝在登录安全体制上的不成熟,导致可以利用重放攻击来登录。淘宝对登录密码的加密在安全输入控件中进行,网络中传送的数据包是用户名和加密后的密码。所以可以把这些信息截获,在以后的某一个特定的时间内,可以绕过输入控件,采用在网络中直接发送数据包的方式登录网站。
无独有偶 账号传输原来这么脆弱
现在你肯定有很多疑问,我们的数据传输就这么不安全吗?其实,实际情况比你想的还要糟。淘宝已经算是安全的了。账号输入过程的安全我们经常防备,账号传输过程实际却被忽视了,脆弱的很。在使用电子邮件、登录论坛的时候,通常默认使用普通的登录方式(例如新浪),传输方式为不加密,只需截取一下数据包就可以看到账号和密码(见图4)。
(图4)
淘宝的标准登录就是一个典型的普通登录。前面我们知道,用户和服务器采用标准的HTTP协议进行通信,由于HTTP协议本身不对通信过程的信息加密。在通信过程中的每个环节,特别是网关、局域网中,都可以轻易得到账户信息的数据包,从而造成用户密码的泄漏。而且,不加密的无线网络,工作方式类似传统的HUB,数据包更容易得到。由于无线网络的普及,很多无线用户没有起码的安全意识,在通信过程中不加密或者采取简单的WEP加密。这样,攻击者可以很容易采用无线sniffer捕获数据包。
登录小改进,安全一大步
我们不妨再按同样的方法来测试一下雅虎的邮箱登录,截获的数据如图5所示。从图中可以看出,截获后的帐户可以轻松显示,但密码变成了一堆看不懂的密文。这样,即使通信被截获,密码还有一定安全性。
雅虎也采用HTTP传输,也没有使用安全控件,这其中有什么秘密呢?究其原因,原来网站的页面上,采用了JavaScript技术,对输入的密码做一个单向不不可逆的变换,当然在服务器上也进行同样的变换。比如输入的密码为ABC,那么可以将其变换为BCD进行传输,这时如果进行截获,也只能截获BCD,从而保护了原始密码的安全。在登录的时候,服务器只需要比较加密后的登录的密码和服务器中加密后的密码是否相同即可。在实际使用中,一般要使用成熟的加密算法,例如MD5、SHA1等,由于这种变换是不可逆的,因此能够保证账户的安全。
(图5)
分析整个过程可以发现,多种原因造成了登录漏洞。由于淘宝网在与用户通信的时候,采用的是标准的http协议,没有对数据传输进行加密,从而暴露了加密后的密码。而在密文中,没有包含相应的随机数或者时间戳等预防重放攻击的信息,从而产生登录漏洞。这里也建议淘宝,一方面要改进加密体制和进行传输加密(如https协议),另外一方面要对登录密码和支付宝密码采用不同的加密方法或者强制用户使用不同的密码。
要实现登录的安全,服务厂商至少需要做两项工作:一是要采用类似银行那样的登录安全控件,确保本机不会被木马截获账户信息;其次是在整个连接过程中一定要采用HTTPS协议进行加密传输。那么我们平时就要选择安全登录模式,重要的密码一定要和平常使用的密码区分开,密码要定期变。@(一-一)@(一-一)