爲何能抓到網站https傳輸的明文密碼？------順便說說「知乎」和「支付寶」的安全性對比

  在多數人看來， https是安全的， 由於https和secure http嘛， 真的是這樣嗎？

        一些人認爲， https是加密傳輸， 因此抓到包也沒有用， 是密文的。 真是的這樣嗎？ 我今天無心抓到了某網站登陸的密碼， 是明文的， 有點吃驚， 結果上網查了一下， 發現仍是有很多網站在用https傳明文密碼。

 

        下面， 咱們以知乎的登陸過程來看看，輸入密碼後， fiddler抓包以下：

 

 

        竟然是明文密碼！！！

        如今你要問， 爲何用https抓包, 仍是能看到明文內容呢？ 這裏咱們要理解https的棧流程， 梳理一下就知道， 加密層位於http層和tcp層之間， 因此抓到的http層的數據並無加密。 同理， 在後臺接收端， 經歷解密後， 到達http層的數據也是明文。 要注意， https不是對http報文進行加密， 而是對業務數據進行加密， 而後用http傳輸。 

        我斗膽， 知乎不敢在後臺存用戶的明文密碼。 而註冊過程和登陸的過程， 知乎後臺是能拿到用戶密碼的， 因此說， 知乎的後臺開發同窗， 仍然有機會接觸到用戶的文明密碼， 這是很危險的啊。 怎麼讓用戶放心呢？ 另外， 客戶端能抓到明文， 壞人很容易植入木馬， 獲取到登陸的密碼， 因此， 用https傳輸密碼， 也是不安全的。

 

        另一個某網站（在此， 我不點名）竟然也是用https傳輸明文， 呵呵噠。 原本， 用哈希加鹽就能解決問題。

 

        咱們來看下支付寶， 你們猜猜結果， 若是支付寶也是這樣， 估計阿里就不是阿里了， 來抓包看看：

 

---------------------
做者：stpeace
來源：CSDN
原文：https://blog.csdn.net/stpeace/article/details/78073288
版權聲明：本文爲博主原創文章，轉載請附上博文連接！