网页版飞信(Fetion)的安全问题
1. 用网页登录飞信的网站(这里显示的是https,但是在传输密码时没有加密 ): https://webim.feixin.10086.cn/
2. 使用firebug可是看到它使用的是https://webim.feixin.10086.cn/js/login.js?2010121001 来实现登录的。
具体的source不贴出来的,但是关键的部分如下:
function j() { var m = new Object(); m.success = k; m.error = b; if (__calluser) { m.url = loginUrl + "?calluser=" + __calluser } else { m.url = loginUrl } m.type = "POST"; var l = 0; if (!f("#login_chk_1").attr("checked")) { l = 400 } m.data = { UserName: f("#login_username").val().trim(), Pwd: f("#login_pass").val(), Ccp: f("#login_code").val(), OnlineStatus: l }; m.dataType = "json"; loadingPanel.show(); f.ajax(m) }
3. 从source中可以看到它是通过ajax 用post方法将数据传输到server的,但是使用firebug查看的话,
它是将密码明文发送的,所以会有中间人攻击的可能,尤其是公司是经过代理上网的,管理员在代理服务器上
可以通过http post数据得到用户的密码 。
4. 例子如下:
POST /WebIM/Login.aspx HTTP/1.1
UserName=13468718000 &Pwd=aaaaaaaaaa &Ccp=8kvs&OnlineStatus=400
^用户的手机号码(这里是随便输入的) ^密码
看来网上安全需要注意,我还尝试了renren和web.qq.com。
renren也是通过明文来传输密码的,但是web.qq.com不是,它是通过md5算法散列的, 关键的一行是
"H += md5(md5_3(B.p.value) + G);"
^密码 ^verifycode(可以通过http get 数据获得)
例如,一个web qq登录请求:
GET /login?u=555555555&p=F018505DE8B66FBCB8CD7F1A04101870&verifycode=!AG0&remember_uin=1&aid=1003903&u1=http%3A%2F%2Fweb.qq.com%2Floginproxy.html%3Flogin_level%3D3&h=1&ptredirect=0&ptlang=2052&from_ui=1&pttype=1&dumy=&fp=loginerroralert&mibao_css= HTTP/1.1
密码"111111111"经过4次md5散列后的变成了"F018505DE8B66FBCB8CD7F1A04101870", verifycode是:!AG0
refs: js beauty online 很好用 http://jsbeautifier.org/?
----
https://mail.qq.com 也是通过明文来传输密码的,例如,一个登录请求:
POST /cgi-bin/login?sid=,2,zh_CN HTTP/1.1
sid=%2C2%2Czh_CN&firstlogin=false&starttime=1303269953187&redirecturl=&f=html&p=111111&ept=0&delegate_url=&s=&ts=1303269964&from=&ppp=&chg=0&target=&checkisWebLogin=9&uin=dddd&aliastype=@qq.com&pp=000000&verifycode=
uin=dddd 是用户名, p=111111是密码
网页版飞信(Fetion)的安全问题相关推荐
- 自动领取起点网页版的经验值
说明 服务器到期,停止服务 2020.08.12更新 贴上关键代码段(php) 关键是请求起点接口,这是核心,其它没什么 public function handle(){$res = self::C ...
- 微信网页版传输助手上线
正式上线.以后在任何只想用微信传个文件的场合,都不用登陆微信,登录网页版文件传输助手即可. 今日,微软Edge浏览器官微发文称,近日,接到部分使用小米路由器的用户反馈,Edge浏览器升级到109版本后 ...
- 【远程桌面软件RustDesk】开源远程控制神器!RustDesk为开源虚拟与远程桌面基础架构,也支持网页版,TeamViewer 和向日葵的替代品
▚ 01 简介 rustdesk:一款开源远程桌面客户端软件,基于 Rust 编写的开源远程桌面客户端软件,标星 16.5K.这个开源远程工具开箱即用,无需进行额外的配置,是 TeamViewer 和 ...
- 新浪腾讯微博互刷互粉工具-网页版
其实早些年,应该算是前年吧.就已经注册了新浪微博,然后腾讯微博出来了就又注册了腾讯微博,不过,推特还真没注册过,当我知道的时候就已经需要爬墙了,人矮,懒得爬了! 那时候,腾讯我记得我发过好几期的邀请码 ...
- linux版飞信安装
linux版飞信安装 下载安装包; http://www.it-adv.net/fetion/libraryrh4x32.tar.gz [支持库] http://www.it-adv.net/fet ...
- 对战五子棋——网页版
目录 一.项目简介 二.用户模块 1.创建用户实体类 2.编写userMapper接口文件 3.实现userMapper.xml文件 4.对用户密码进行加密 5.实现用户登录功能 6.实现用户注册功能 ...
- 能做pc网页吗_梦幻西游网页版:如今还能抽金伙伴吗?玩家亲自验证,感觉还行...
说起"金伙伴",相信各位玩家并不陌生.作为梦幻西游网页版中的强力助手,他们的各方面表现相当优秀,因此不少玩家都想抽到.然而,越珍贵的东西就越难抽出来,想要在荟英楼看到金伙伴,并不是 ...
- 如何打印网页版的发票_梦幻西游网页版:陷入瓶颈期,如何快速提升战力?氪金能解决问题...
在梦幻西游网页版中,战力的高低直接影响着玩家的游戏体验,因此大家都将注意力放到了这上面.然而,提升战力并非易事,随着等级越来越高,难度也会逐渐提升.前不久,就有一位玩家遇到了麻烦,据他描述,目前的战力 ...
- Python 写了一个网页版的「P图软件」,惊呆了!
作者 | 小欣 来源 | Python爱好者集中营 今天是开工第一天,这篇文章可以算作是虎年的第一篇干货技术类文章了,今天小编用Python做了一个网页版的"P图软件",大致的流程 ...
- Facebook的一些基本操作(网页版)
这篇文章主要讲的是利用 JavaScript SDK 进行Facebook的登录,点赞和分享功能. 前期准备 1,注册一次Facebook账号,新建一个应用取到应用id 2,引进Facebook的SD ...
最新文章
- 用Enter键取代tab键
- cocos2d-x游戏引擎核心(3.x)----启动渲染流程
- mysql典型sql示例(DML)
- HTML <cite> 标签
- 现在银行etl还要做拉链表吗_hive 拉链表 实现全量数据 增量更新
- Eigen(7)Map类
- 【51Nod - 1094】和为k的连续区间 (前缀和,二分查找)
- asp.net下用js实现弹出子窗口选定值并返回
- 计算机网络的带宽是指网络可通过的,计算机网络及带宽概念.ppt
- Fabric学习--环境搭建
- SolidWorks机箱机柜钣金3D模型图档
- GraphPad Prism 中文版 科研绘图工具
- java计算机毕业设计高校疫情管理源程序+mysql+系统+lw文档+远程调试
- 戴尔·卡耐基(美)《演讲的艺术》
- “嫦娥一号”可以证明美国当年登月是否属实
- 双击背面截图_ios14怎么双击后盖截图 苹果双击背面截图原理详解[多图]
- 各种免费的在线小工具
- 你需要知道的无代码数据分析工具
- 静力触探CPT处理及表层声速异常处理记录
- 测序总结,高通量测序名词