精华内容
下载资源
问答
  • 关于明文传输的问题

    万次阅读 2018-09-12 00:34:41
    上周拿到一个线上复测的项目,中间一个明文传输问题,这个问题平时基本不记,客户那测试基本都是内网环境,上线基本都是 https。这个问题之前是这样测试的:抓包,如果内容是明文就记这个问题,这里存在很多的问题...

    引子:

    上周拿到一个线上复测的项目,中间有一个明文传输问题,这个问题平时基本不记,客户那测试基本都是内网环境,上线基本都是 https。这个问题之前是这样测试的:抓包,如果内容是明文就记这个问题,这里存在很多的问题。

    问题 1:线上环境 https 为什么抓到的包是明文

    这个问题很容易搜到答案,原因在于 https 的加密是传输的过程,burp 拦截的数据包没有走到传输那一步,它只相当于拦截的浏览器的数据,相当于就是客户端。
    https 抓包原理第一步,抓包程序将服务器返回的证书拦截,第二步,给客户端返回一个自己的证书,第三步,客户端发送的数据包程序用自己的证书解密,第四步,再用拦截的证书加密发送给服务器。

    请输入图片描述

    这就是为什么 burp 需要抓 https 的网站时,需要给浏览器导入自己证书的原因。这样,很自然的就会想到第二个问题。

    问题 2:那明文传输问题应该怎么测

    内网的测试环境基本不会 https,线上环境基本都是 https,如果有复测线上环境的情况,最简单的就是直接看 url 地址了,最明显不过。如果是 APP,没有 url 地址,那就直接抓包,可以使用 wireshark 抓包查看,如果嫌麻烦,直接到 burp 的 HTTP history 中查看 url 是否有 https 即可。

    请输入图片描述

    之前有一个误区,认为 burp 抓到的 https 包是乱码的,认为那就是 https 加密的结果。首先 https 加密后的内容,是在 burp forward 之后的,其次如果是 https 加密,消息头的内容也都是密文。如果之前有这样的误区,那么就会有第三个问题。

    问题 3:burp 拦截的一堆乱码是什么

    请输入图片描述

    类似于上图,这个是因为编码的问题,其实它和图片上传拦截的数据包很像,那些乱码属于 application/octet-stream 类型,准确点应该是头部会有一个 Content-Type 字段值为 application/octet-stream。这个类型通常指二进制流,或者其他的一些文件内容,这些内容通常需要一些客户端打开,所以感觉 burp 还原几率很小。

    图片中是有这个字段的,很多包是类似于这种乱码,但没有这个字段,是因为对于 tomcat 中间件,如果有未知类型的内容进行传输,则会默认使用 application/octet-stream 这种方式,这时候 burp 拦的就是那种乱码形式。

    问题 4:关于修复问题

    最终的修复方法还是使用 https。

    之前看到的修复建议有写在前端使用 js 对敏感数据进行加密这种修复方式,严格来说,作用不是很大。假设有一个恶意攻击者发起了一个钓鱼 wifi,你连上了这个 wifi,去登录一个程序,这个程序对账号和密码进行了 js 加密,那么通过中间人拦截数据包后就不会显示明文,但作用并不大,其实还是相当于明文传输,把这个数据包发送服务器是没问题的,所以说作用并不大。

    有人提出过类似的思路,js 加密敏感字段,后端接收值后在通过 md5 + 盐的方式进行数据库存储,那么对于后端来说接收的不管是明文还是进过 js 加密的密文,都是一样的,作用在于中间人拦包后获取不到明文,数据库被拖后很难还原密码这些。其实两端加密相当于没有加密。

    但不能说前端 js 加密就没有用处,作用上一段说了,会起到一定的意义,例如支付宝不仅使用了 https,也使用了前端 js 加密,如下图:

    请输入图片描述

    所以,关于修复方法,必须使用 https,其次能结合前端 js 对敏感信息进行加密更好,如果业务要求高,像银行那样,可以同时使用客户端控件进行多重加密。


                                                                            公众号推荐:aFa攻防实验室

                             分享关于信息搜集、Web安全、内网安全、代码审计、红蓝对抗、Java、Python等方面的东西。

                                                                              

    展开全文
  • 敏感信息明文传输相关问题小结

    千次阅读 2018-12-24 09:41:16
    最近在工作中,由于同事对敏感信息明文传输这个漏洞认识不深,导致工作出了一些问题。经过一番研究后,发现了其中的一些小知识点,在这里跟大家分享下,具体情况是这样的: 1.我们在做安全测试的时候,经常可以通过...

    最近在工作中,由于同事对敏感信息明文传输这个漏洞认识不深,导致工作出了一些问题。经过一番研究后,发现了其中的一些小知识点,在这里跟大家分享下,具体情况是这样的:

    1.我们在做安全测试的时候,经常可以通过Burpsuit抓包看到一些以明文方式呈现的敏感信息,比如在页面登陆处,我们输入账号密码,通过Burpsuit抓包,可以看到如下类似的数据包。

     

    可以看到在数据包中,用户登陆用的账号和密码都是以明文的形式呈现的,并未经过任何加密。

    但同事被他们内部评估标准洗脑,看到数据包中存在明文的敏感信息就认定此处存在敏感信息明文传输的问题。但这样的判断明显是存在问题的。

     

    1. 通过burpsuit抓到包含明文的数据包时,我们首先应该查看该网站使用的是HTTP协议还是HTTPS协议,如果使用HTTP协议传送明文的敏感信息,那一定的是有问题的。但是如果网站使用的是HTTPS协议,情况则有所不同。
    2. 在这里先介绍一下什么是HTTPS协议,HTTPS被称作安全的HTTP协议,百度上对它的解释如下:

    HTTPS,即超文本传输安全协议,是以安全为目标的HTTP通道,简单讲是HTTP的安全版。即HTTP下加入SSL层,HTTPS的安全基础是SSL。

    首先我们需要明白HTTP位于OSI模型的第七层,属于应用层协议。

    SSL位于OSI模型的第四层,属于传输层协议。

    通俗来说,HTTP协议在从应用层到达传输层时,经过SSL协议加密后就是HTTPS协议。

    需要注意的是:此处的加密并非针对数据包内单个的参数进行加密,而是将整个数据包加密。

    1. 说了这么多,部分萌新可能对我说的应用层和传输层有些疑惑,下面我来简单介绍下OSI七层模型每层的作用,以及数据包从终端A—到达终端B的过程。

    A--B的传输过程如下

    OSI七层模型每一层的作用如下:

    应用层:针对特定功能提供对应协议,比如邮件功能对应电子邮件协议(SMTP),远程登陆对应远程登陆协议(SSH、Telnet),文件传输对应文件传输协议(FTP、SFTP)。(协议就像语言一样,跟不同国家的人交流需要用到不同的语言,不同国家的人相当于各种各样的系统功能,语言就相当于协议,只有使用相同的协议进行通信才能完成特定的系统功能)

    表示层:将设备固有数据格式转换为网络标准数据格式。比如视频数据,表示层就是将Avi,RMVB,MP4等不同的格式的视频数据转换为,网络标准数据格式。感觉说的还是不好。

    举个例子:为了方便不同地区的人进行沟通。表示层可以将开封话,山西话,商丘话,浙江话转换成普通话后在进行传输。接收端接收到普通话后,可根据设备或软件需要将普通话在转换为开封话等。

    会话层:管理通信,负责建立和断开通信。制定通信方案,比如一共要发送6个数据包,会话层根据不同通信需求,控制数据包是一个一个发还是一起发还是3个3个发。

    传输层:管理两个节点间的数据传输。保证数据被可靠的传输到对端地址。

    网络层:提供地址和路由选择。也就是IP地址寻址。

    数据链路层:负责物理层面上互联的设备间的通信。也就是MAC地址寻址。

    物理层:将设备可识别的0、1串转换为电压的高低、灯光闪灭等物理信号。

    在以上过程中,数据只有在从应用层到达传输层之前,在计算机内存中存在短暂的明文状态。

    以OSI七层模型为例,数据每从高层向低层传输一层,低层都会在高层的发来的数据基础之上加上自己的协议包首部.

    使用HTTPS协议的数据包在到达传输层时,传输层除了在数据包之前加上该层协议对应的包首部之外,SSL协议会将此数据包(HTTP协议的数据包)加密,然后再传输。所以说HTTPS协议是基于HTTP协议的,且它的安全性依赖于SSL协议。

    经过SSL协议加密后的HTTP协议就是HTTPS协议.

    数据到达接收方,接收方在传输层经过SSL解密之后,在应用层呈现的就是明文数据.

    用户通过浏览器和服务器通信的正常过程:

    中间人欺骗的过程:

    这里的代理服务器就是实施中间人欺骗的攻击者。

    1、攻击者需要诱使正常用户A安装自己的证书,并将其设置为受信任的根证书颁发机构。

          然后将正常用户A的浏览器代理设置为攻击者的IP地址。

    2、用户发送HTTPS请求,攻击者生成公钥和私钥对1,将自己的证书和公钥发送给用户A,用户A验证攻击者证书的合法性之后,随机生成自己的公钥私钥对,然后用攻击者的公钥1将自己的公钥和HTTP请求发送给攻击者。

    3、攻击者收到用户A请求后,用自己的私钥1将数据包解密,得到用户A的请求和用户A的公钥,之后向服务器发送一个请求。服务器生成自己的公钥私钥对,然后将自己的证书和公钥发送给攻击者,攻击者浏览器验证服务器证书的合法性后,再随机生成公钥私钥对2,然后用服务器发送给自己的公钥将用户A的请求和自己的公钥2发送给服务器。

    4.服务器收到攻击者发来的请求后,用自己的私钥解密得到攻击者发来的HTTP请求和公钥2,然后处理HTTP请求,处理完成后将处理结果用攻击者的公钥加密发送给攻击者。

    5.攻击者收到服务器返回的结果后,用自己的私钥2进行解密,然后将结果用用户A的公钥加密,然后返回给用户A。

    6.用户A浏览器得到攻击者返回的结果后,用自己的私钥进行解密,得到响应明文,之后由浏览器处理,呈现给用户。

    由以上过程可以看出,使用HTTPS协议的网站,攻击者想使用中间人窃听的方式拿到用户明文数据,是有一定难度的。

    关于HTTPS中使用的SSL协议的理解,大家可以参考如下链接,下面这篇文章看起来很舒服且极易理解:

    https://www.cnblogs.com/hai-blog/p/8311671.html

    文字表达能力太差。在这里总结下吧
    使用Burp抓取数据包,看到数据包内的敏感信息以明文的方式存在,这里存在两种情况:

    1.如果网站使用HTTP协议传输数据,则存在敏感信息明文传输问题。攻击者如果使用中间人欺骗的方式可轻易获取明文数据。

    2.如果网站使用HTTPS协议,那么数据包在网络中传递时就是加过密的(这里的网络中是指数据包出了发送端A,但还未到达接收端B,这段时间)。攻击者如果使用中间人欺骗的方式获取数据包,拿到的也是经过加密后的数据包。如果攻击者想获得明文数据包,则需要在用户电脑上安装自己的HTTPS证书,并且需要将用户浏览器代理IP设置为攻击者自己的IP。

    为了防止攻击者通过更改用户代理的方式截获用户数据,在这里建议即便网站使用HTTPS协议进行数据传输,也要将数据在前端经过JS加密后再进行传输。这样即使攻击者通过上述方式截获用户流量,在经过HTTPS解密后拿到的依然是通过JS加密后的敏感数据。这样就进一步给攻击者增加了攻击成本。

     

     

    展开全文
  • 漏洞解决方案-明文传输漏洞

    千次阅读 2020-08-11 09:53:50
    敏感数据明文传输简单点来说就是当我们在网站上面提交敏感数据到服务器的过程中未进行相关加密处理,导致攻击者通过中间人攻击方式(劫持、嗅探等)即可获取到这些未加密的敏感数据。当攻击者获取到这些数据之后,就...

    漏洞解决方案-明文传输漏洞

    一、漏洞概述

    敏感数据明文传输简单点来说就是当我们在网站上面提交敏感数据到服务器的过程中未进行相关加密处理,导致攻击者通过中间人攻击方式(劫持、嗅探等)即可获取到这些未加密的敏感数据。当攻击者获取到这些数据之后,就可以用这些信息以合法用户的身份进入到应用系统中——甚至可能进入到应用系统后台中,一旦进入到应用系统中那么就可以获取更多的敏感数据,以及更有机会发现更多的漏洞。

    二、利用方法和手段

    1. 方法1:通过中间人攻击方式(劫持、嗅探等)获取未加密的敏感数据
    2. 方法2:根据web用户登陆页面,直接进行暴力破解用户信息。

    三、漏洞防御解决方法

    1. 方法1:使用正规的ca机构颁发的https证书
    2. 方法2:采用非对称加密方式(不可逆的加密方式)
      例如:
      使用md5加盐加密方式。就是在做MD5之前给密码原文加上某个字符串后再做MD5运算。要点在于,这个salt,是每次提交之前跟服务器端实时申请的,而且会在很短的时间内自动过期(因为申请和验证之间的时间间隔只是两次连续http请求的时间,所以这个过期时间可以很短),这个salt只用一次,验证之后无论成功与否都会在服务器端强制作废。这样的话,截获任何一次MD5加密串,都无法用于另一次登录验证。
      在这里插入图片描述
      关注公众号,一起分享实用安全技术,关注安全最新事件,记录工作常见问题,吐槽生活真心操蛋。
      在这里插入图片描述
    展开全文
  • 敏感数据明文传输(密码)

    千次阅读 2017-08-28 15:13:46
    1、 加密过程 加密分为单向和双向。...单向是不可逆的,这边加密,那边无法解密,比对的方式是从数据库里拿出该用户的密码,进行同样的加密,比对加密后的值是否跟用户提交过来的加密串(散列)一致。...

    1、  加密过程

    加密分为单向和双向。拿登录功能来说,密码的加密发送。双向加密就是可逆的,这边加密,那边解密后跟数据库里的密码比对。单向是不可逆的,这边加密,那边无法解密,比对的方式是从数据库里拿出该用户的密码,进行同样的加密,比对加密后的值是否跟用户提交过来的加密串(散列)一致。由于加密算法需要发送到浏览器端来执行,因此双向加密对于http的client端来说不可行,最好的办法是单向加密,单向加密最常用的就是做MD5散列。

    2、  MD5加salt(盐)

    MD5传过去,服务器端把数据库里的密码做MD5后两相比对,等于还是拿POST过去的串原样比对。那我截获MD5串以后,原样POST给server端,不是一样能通过验证?我说,我们可以加点盐(salt),就是在做MD5之前给密码原文加上某个字符串后再做MD5运算。要点在于,这个salt,是每次提交之前跟服务器端实时申请的,而且会在很短的时间内自动过期(因为申请和验证之间的时间间隔只是两次连续http请求的时间,所以这个过期时间可以很短),这个salt只用一次,验证之后无论成功与否都会在服务器端强制作废。这样的话,截获任何一次MD5加密串,都无法用于另一次登录验证。


    解决方案:(例如登陆)

    前台:   MD5(密码+验证码 ) 加密

    <script type="text/javascript" src="jsLib/md5.js"></script> 

      value =  md5(pwd+rand);



    展开全文
  • 如今的android系统越来越注重用户个人信息安全,比如最近的几个版本对于明文传输数据控制的越来越严格, 就拿最新的Andorid 9而言,默认已经禁止明文传输,如果你的app的targetversion值是28以上,使用http开头的...
  • 在一般的前后端分离项目当中,时常会敏感信息明文传输的情况存在。这里我们采用前端数据请求加密,后台数据接收解密来防止他人截取用户等敏感信息。 1.常用的base64加解密 前端需要首先安装base64,使用npm命令:...
  • 浅谈“密码明文传输

    千次阅读 2020-07-19 10:21:50
    明文传输一般存在于web网站登陆页面,用户名密码采取明文传输并未采取加密(注意:一些软件如BurpSuite带可加密的暴力破解!)容易被嗅探软件截取(如果加密方式是常见的加密也可以解密的(比如:MD5,RSA等--另外...
  • 测试准备 ... ...在上图中,username、password信息都为明文传输,我们可以获取到用户名和密码,这样黑客就得到了有用信息。并且我们可以修改此信息,例如我们将admin修改为admins,那么访问后台...
  • 经查资料发现发现新的Android明文传输有规定 这个问题的原因是因为安卓新版本默认不允许使用明文网络传输,会强制让应用都使用https。解决办法如下,在AndroidManifest.xml文件的<application标签中,加入一句...
  • 关键信息明文传输也是一个十分常见的漏洞。在前后端进行交互时,尤其是登录操作,需要注意对密码等关键信息进行加密,因为信息在传输过程中,可能会被截获的危险。下面就针对扫描工具,给出几种方案。 修复方案 ...
  • Android9.0明文网络传输适配

    千次阅读 2020-04-16 19:14:39
    Android9.0明文网络传输适配Android9.0配置网络 Android9.0配置网络 从Android9.0系统开始,应用程序默认只允许使用 HTTPS 类型的网络请求,HTTP类型的网络请求因为安全隐患默认不再被支持。 那么我们为了让程序...
  • 漏洞危害:明文传输的危害在于所有经过网关的流量都可以被黑客通过嗅探(ARP欺骗)的方式抓取到。 防护建议: <1>启用SSL机制 <2>对系统内所以涉及到密码等敏感数据传输地方做加密处理,从而在一定的...
  • 网站安全之密码明文传输漏洞

    万次阅读 2017-03-26 17:33:40
     相信关注笔者的读者应该看过笔者之前写过的一篇文章——《keytool的用法》.这篇博客是介绍了如何生成系统使用的证书。而这个证书是在https中使用的,对于https的地址我们不用担心密码在传输时出现漏洞,也就是被...
  • 使用spring-boot项目写的demo,需要额外引入 security.js 用于js加密 bcprov-jdk16-146.jar 加密api 项目结构,代码已上传到CSDN资源库,需要的小伙伴...前端输入用户信息后加密传输 app.js 3. 后端解密数据 4.效果
  • java web系统明文密码加密传输

    千次阅读 2019-01-09 20:20:15
    最近项目PL提出系统数据越权和明文密码传输问题,涉及网络安全的问题,这让我一脸懵逼,查阅相关资料后做相关记录 1. 数据越权:  涉及重要功能需要验证用户是否当前用户操作,修改密码功能接口参数用户Id人员被恶意...
  • 系统明文密码加密传输

    千次阅读 2018-03-12 09:40:07
    最近项目PL提出系统数据越权和明文密码传输问题,涉及网络安全的问题,这让我一脸懵逼,查阅相关资料后做相关记录1.... 加密解密1.1 前端js加密概述对系统安全性要求比较高,那么需要选择https协议来传输数据...
  • https数据传输介绍

    千次阅读 2017-08-15 14:17:57
    什么需要httpsHTTP是明文传输的,也就意味着,介于发送端、接收端中间的任意节点都可以知道你们传输的内容是什么。这些节点可能是路由器、代理等。举个最常见的例子,用户登陆。用户输入账号,密码,采用HTTP的话...
  • AJAX请求数据步骤是什么传输数据是用的暗文还是明文
  • 微信数据传输

    千次阅读 2018-12-17 13:51:00
    测试 1 我尽量把联网的程序关掉,只打开微信 ...我把抓取的几条流都看过了,并不能看到 123456 这样的字符串,并且明显发送的所有字符串都是经过加密的,不可辨识。 测试 2 手机微信与计算机在同一局域网下,手机...
  • 自Android9.0系统开始,应用程序默认只允许使用HTTPS类型的网络请求,HTTP类型的网络请求因为安全隐患默认不再支持。为了让应用程序支持HTTP请求,可以做如下设置: 1、在res/xml目录下新建xml文件,命名network_...
  • 主要给大家介绍的是Node.js数据加密传输,本文主要介绍的是明文传输,文中通过示例代码介绍的很详细,相信对于大家的理解和学习会很帮助,需要的朋友们下面来一起学习学习吧。
  • 我们知道如果要向远程服务器传输数据和操作必须输入用户名和密码远程登录服务器 ,或用FTP等协议,都需要权限控制。  然而如果是两台服务器间的软件需要通讯和数据传输,如hadoop集群中机器互访,是不是每次也要...
  • HTTP明文协议的缺陷,是导致数据泄露、数据篡改、流量劫持、钓鱼攻击等安全问题的重要原因。HTTP协议无法加密数据,所有通信数据都在网络中明文“裸奔”。通过网络的嗅探设备及一些技术手段,就可还原HTTP报文内容。...
  • Socket数据传输

    千次阅读 2017-10-11 19:26:18
     通过socket调用返回一个socket描述符后,在使用socket进行网络传输以前,必须配置该socket。面向连接的socket客户端通过调用Connect函数在socket数据结构中保存本地和远端信息。无连接socket的客户端和服务端以及...
  • 登录敏感数据传输为明文传输,数据加密传输仅在获取短信验证码时进行,但是在登录过程中未进行加密传输 用于前台页面传输数据到后台时,对敏感数据加密传输,后台在对敏感数据解密处理 本代码块中base64加密两种...
  • 大家都知道,在客户端与服务器数据传输的过程中,http协议的传输是不安全的,也就是一般情况下http是明文传输的。但https协议的数据传输是安全的,也就是说https数据的传输是经过加密。 在客户端与服务器这两个完全...
  • PuTTY是一个Telnet、SSH、rlogin、纯TCP(就是tcp ...除了官方版本外,许多第三方的团体或个人将PuTTY移植到其他平台上,像是以Symbian为基础的移动电话。PuTTY为一开放源代码软件,主要由Simon Tatham维护,使用
  • Wireshark抓包验证FTP明文传输

    千次阅读 2013-06-14 22:21:02
    本人菜鸟,喜欢计算机网络,致力信息安全!... 1、设计环境如下 ...总结:可见,FTP协议是明文传输不对数据包加密的,账号密码都是显式的,以后登陆时要多加注意不要随意在不安全的网络上登陆。
  • 而我们的RAS加密的速度很慢,并且长度限制,每一个块只能达到117字节,在给移动终端编写接口时传输的信息大都明文传输,而使用Https协议又不是很方便,所有我就写了一个DES和RSA加密对数据进行加密的方案,...

空空如也

空空如也

1 2 3 4 5 ... 20
收藏数 71,391
精华内容 28,556
关键字:

明文传输数据有什么