最近一直都在學習網絡安全方面的知識,也使用wireshark抓了一些報文仔細觀察了一下。對於網絡安全有了更多的瞭解,於是便在這兒和大家分享一下。
當我們打開一個網頁,登陸的時候,或者cookie直接幫我們登陸的時候,我們的密碼或者密碼相關的信息就會被髮送到另一個服務器接受驗證。於是問題就產生了:可能一個不懷好意的人正在偷聽你和另一臺服務器的談話——包括你的密碼。
究竟什麼是祕密?
就一般的網站而言,祕密只包含你的密碼!!!舉個例子,你現在去啪啪或者荔枝電臺註冊個賬號,你在上面聽的內容、發佈的內容、個性簽名等基本沒有祕密可言(當然我也看過一個booking的軟件,使用ssl協議通信,基本什麼信息也偷聽不到)。所以我在這不能和你討論“你的信息是否安全”,因爲我們都沒有去保護它,所以我們只能討論一下這一丁點的密碼我們有沒有保護好。
網站如何進行認證授權?
要想知道你的密碼是否安全,那我們就有必要了解一下網站確定你就是這個登錄名的持有者的流程。這裏介紹一個主流的方式(至少csdn是類似的方法):當你輸入密碼點擊登錄後,你的密碼會在本地產生一個md5的指紋,這個指紋會被髮送到遠程服務器去進行驗證。爲了讓用戶們可以在不同網站使用相同的密碼以及不同的人使用相同的密碼,網站會預先把它存在服務器那邊的一個小的數據片段(鹽,每個人都不同)發給我們,產生出“密碼指紋+鹽”的md5指紋並返回給服務器。這樣子即使csdn內部人員也基本是不知道你的密碼的。下面給一個例子(我登陸自己YY時截獲的信息)
username=axuanwu223&key=YXh1YW53dTIyMywsMjAxNC0wMi0yNSAxMTowOToyOSwsNGI3ZmRhY2M4NzdhNzgyNmI2ODY5NTA2ODNkMzdjNjhlOGYwMGMxNA==
這個key裏面就包含了授權需要的信息 用戶名+登錄時間+md5指紋。我們把key的內容copy一下,然後再百度裏面搜索一下“base64解密”(這時候我們可以體驗一下腳本小子的待遇了),把它貼進去就會輸出
axuanwu223,,2014-02-25 11:09:29,,4b7fdacc877a7826b686950683d37c68e8f00c14
後面是一個40位的16進制數,標準的md5是32位,這估計是他們自己做的一個改進。這裏再說一下時間信息爲什麼需要包含在指紋裏,因爲別人可能就僅僅截取你的MD5指紋後提交給服務器企圖矇混過關,這個時候時間就會發揮作用。瞭解到這些你是否會覺得你的密碼很安全。
水桶裏的短木板
上面的加密方法是n種中的一種,也有許多網站僅使用了base64加密,或者根本沒加密。下面我提供一個獲取你qq或者yy密碼的方法,看看你會不會中招。
第一步:獲取你的qq號(這完全沒難度,只要我確定了你是我的目標)
第二步:找一個安全意識弱的網站,找出它和你的契合點,並說服你去註冊。(看起來不太容易,但一旦有了合適的理由,也不會那麼困難。)
第三步:找到這個密碼(看過wireshark 抓取 telnet登錄用戶名和密碼後就會發現沒什麼困難)。
第四步:沒有第四步了,你會不會中招就取決於你會不會使用與qq相同的密碼。
使用不同的密碼就像一個個隔艙,就算某個被攻陷,其他的也是安全的,但沒有人這麼做,因爲正常人能記住的密碼是有限的(當然,懶也是原因之一)。大家再回顧一下這個方法:最關鍵的步驟——說服你註冊與技術沒關係。
結語
有一本書叫《欺騙的藝術》,他站在黑客的角度介紹了一次次的入侵,與大家想象的不同,這些高明的案例中黑客們不是坐在電腦前拼命敲鍵盤,他們打電話,他們喝咖啡,他們”漫無目的“的閒聊。當他們坐在電腦前時,一切都準備好了,你的命運也已經註定。用書中的原話說:“【這個世界上只有兩種事物是無窮盡的——宇宙和人類的無知,而我對於前者還不確定。——愛因斯坦】把人作爲突破口會讓一切都變得更簡單”。