測試準備
我們以https://demo.stylefeng.cn/爲例
打開BurpSuite工具,並將請求攔截開關打開
開始測試
點擊登錄按鈕,在BurpSuite工具攔截登錄請求
在上圖中,username、password信息都爲明文傳輸,我們可以獲取到用戶名和密碼,這樣黑客就得到了有用信息。並且我們可以修改此信息,例如我們將admin修改爲admins,那麼訪問後臺的請求就會被篡改。
防禦措施
目前主流的修改方式,將username、password信息封裝爲一個json串,並且對該json串做整體加密。主流加密方式最好選擇非對稱加密,例如國密sm2、RSA等。針對不同的開發語言,具體加密方法也不相同,這裏不進行詳述。