【安全性测试】关于使用加密密码登录的一些小发现

  有时候,在测试中,发现开发仅仅只是加密了密码就行了。因为他认为,只要用了不可逆的加密算法,你怎么破解,也没法知道密码是多少。但是,事实并不能这样。

1、抓取登录的账号和密码

包中显示的密码是加密后的字符串,但是我们可以不去破解这段密码。而是.......

2、让我们再抓一段密码是我自己乱打的字符串,和正确的密码字符串作为比对

3、接着,我们先将输入正确的账号和密码提交到服务器,查看返回的内容

4、OK,那么我们又将含着错误密码的报提交到服务器

5、我们看完两个结果之后,让我们将包里错误的密码替换成加密的正确密码,再提交给服务器

 

然后我们发现,提交给服务器之后,返回的内容和直接使用正确密码提交的一致。所以,只要抓到正确的密码,不管加不加密,都能直接拿去登录。自然,后来我提出了给密码加上时间戳等建议让开发修复该漏洞

 

posted @ 2018-04-25 14:35  Xiao世  阅读(1685)  评论(0编辑  收藏  举报