V2EX = way to explore
V2EX 是一个关于分享和探索的地方
现在注册
已注册用户请  登录
V2EX 提问指南
skyphone001
V2EX  ›  问与答

v2ex 登录分析

  •  
  •   skyphone001 · 2021-09-03 16:25:29 +08:00 · 815 次点击
    这是一个创建于 1206 天前的主题,其中的信息可能已经有所发展或是发生改变。
    用 fiddler 抓包了 v2 的登录。发现提交了 5 个表单
    key value 说明
    cc197a53dabd5a18198dc6e01822dc8c81062d96645c2d672dc9facb213b47e6 skyphone001 用户名
    ed29a56a15250e45a7f54daa29e6b07d2fbc51757164725ca7c6a4035977dd45 明文密码 密码
    e980331cd832118eb1068774e0020c5dd0fe2cba72f89887e307239594c3f936 xkhb 验证码
    once 16929
    next /

    这种登录有什么好处。发现密码也没加密
    6 条回复    2021-09-22 09:55:01 +08:00
    mightofcode
        1
    mightofcode  
       2021-09-03 16:35:07 +08:00
    https 保证安全性,前端没必要加密
    skyphone001
        2
    skyphone001  
    OP
       2021-09-03 17:45:03 +08:00
    @mightofcode 问题是我抓包抓到了。支付宝密码是加密了。
    AoEiuV020
        3
    AoEiuV020  
       2021-09-03 18:27:33 +08:00
    我也觉得前端密码简单加密意义不大,因为本质上这个”加密结果“才是真正的密码,抓包照样抓到”密码“,
    要更高级别安全性至少要额外设计一套方案,复杂度大增,
    比如我们公司支付密码不参与传输,只用来加解密私钥,然后私钥去解密服务器给的临时密码,再用临时密码加密其他参数,这过程临时密码对上了就表示支付密码对上了,
    adrianzhang
        4
    adrianzhang  
       2021-09-03 18:44:45 +08:00
    看用户群吧,像 v2 这种人均会翻的用户,谁会用别人的网络登录 v2 呢,至少经过自己的 vps 不是,这样的路,有必要在开始就加密么?
    v2tudnew
        5
    v2tudnew  
       2021-09-20 12:01:05 +08:00
    @skyphone001 #2 过了 https 还能抓到?你这是登录的客户端上装了抓包软件吧?
    skyphone001
        6
    skyphone001  
    OP
       2021-09-22 09:55:01 +08:00
    @v2tudnew 直接用 fiddler4 抓就可以
    关于   ·   帮助文档   ·   博客   ·   API   ·   FAQ   ·   实用小工具   ·   1287 人在线   最高记录 6679   ·     Select Language
    创意工作者们的社区
    World is powered by solitude
    VERSION: 3.9.8.5 · 22ms · UTC 17:30 · PVG 01:30 · LAX 09:30 · JFK 12:30
    Developed with CodeLauncher
    ♥ Do have faith in what you're doing.