1.進入推推王網站。
2.確定你已經登出推推王。
3.點選主畫面右上方登入,這時候會彈出一個登入畫面。
4.推推王的登入畫面如下圖,看起來推推王的登入多了一個步驟,不想在此探討推推王的登入是如何處理,因為寫起來會有很多步驟、很多圖,也不是本站要探討的重點,本站直接擷取封包的內容。
5.擷取封包驗證,其中 210.71.186.6 就是網站(funp.com)的 IP,剛剛輸入的帳號密碼皆是以未加密的明碼傳送。
2007年12月19日 星期三
推推王
訂閱:
張貼留言 (Atom)
skip to main |
skip to sidebar
這個部落格專門報導一些惡劣網站,希望能給大家一個安全、免於恐懼的網路環境
詳細說明請點 "標準" 選單
5 則留言:
人家只是沒做https版本的
不是hijack你的資訊
不懂ajax不要亂講
危言聳聽啊
雖然不是ec的網站
不過是應該要提供https的連線啦
我並沒有說這些網站 hijack 個人資訊,事實上資料都在他們的資料庫幹麻還 hijack 會員的個人資訊。
因為登入不用 https 連線, 這時候的帳號密碼經過漫漫長途到達該網站, 只要有心人皆可攔截, 尤其在提供無限上網的地方, 一台 NB 就可以收到一大堆的帳號密碼。
這篇文章探討的是 funP 處理會員登入時帳號密碼的安全問題,我沒有去追蹤他的會員登入是不是用 ajax,就算 funP 是用 ajax 來處理會員登入,funP 還是一樣傳送沒有加密過的帳號密碼,看看我用擷取封包軟體就知道,帳號密碼一清二楚。
你的文中提到:「看起來 funP 的登入多了一個步驟,直接擷取封包的內容。」
事實上那個登入視窗是javascript直接在你的電腦上呈現的效果,並不是新的應用程式,何來funP直接擷取封包內容之說?這樣豈不是誤導大眾視聽?
的確需要登入的網站應該使用https加密傳輸,這是他們的缺失,可是你的那句話會誤導大家以為funP會開後門抓人家的資料。
我承認讓你誤會了,語意不夠清楚。
建議你先把http協定的架構搞懂, 再把瀏覽器client端和web server之間的原理搞清楚
再來寫這些東西...不然給懂的人看到, 真的會覺得很好笑.....
張貼留言