网页抓取 加密html(2021-07-28网站加密的几种漏洞修复方法)

　　网页抓取 加密html(2021-07-28网站加密的几种漏洞修复方法)

　　2021-07-28 一：漏洞名称：密码明文传输说明：

　　明文传输一般存在于web网站登录页面。用户名和密码明文传输，不加密（注意：BurpSuite等一些软件有加密暴力！）很容易被嗅探软件截获（如果加密方式是普通加密方式，也可以解密（例如: MD5、RSA等——另外base64只是一种编码方式，不考虑加密！）

　　检测条件：

　　Web网站已知有登录页面

　　检测方法：查找网站或web系统登录页面。通过从网站的登录页面的请求中抓包，该工具可以使用burp、wireshark、filder等分析数据包中相关密码参数的值是否为明文。

　　①如图，使用wireshark抓包解析的密码：

　　2 如图，使用BurpSuite抓包解析的密码：（借用博主图Hk.Ty）

　　、

　　③如图，使用火狐浏览器F12中的“网络”模块功能，点击HTML过滤抓包密码进行包分析

　　然后点击登录获取post或get的请求头和请求体内容。如下图，获取到http明文登录的敏感数据。

　　错误修复：

　　建议根据网站的安全等级要求，在传输过程中需要对密码进行加密，比如使用HTTPS。但是，加密方式会增加成本，并可能影响用户体验。如果不使用HTTPS，可以在网站前端使用Javascript对密码进行加密，加密后传输。

　　其他补充说明：暂无。

　　分类：

　　技术要点：

　　相关文章：