密码在空中飘扬

时至今日,用户登录居然还有 HTTP 明文 POST 密码的,这就发生在……

最近一不小心发现清华校园网认证登录机制有个明显的漏洞,做了点实验,还写了篇文章,投稿至年级的微信公众号发表了。此博文作为警示:

对用户的密码不要直接 HTTP POST !简单取一下散列并不行,直接 POST 明文更不行!要让服务器下发一个 nonse,要用 HTTPS,要不然太不安全,太不负责任了。。!

不过这真是自我打脸。本博客采用的 WordPress 在登录的时候就是 HTTP POST 明文的。。等我期中考试完闲下来,把它整个改掉。。

(待更新)

3 thoughts on “密码在空中飘扬”

  1. 在有中间人攻击的情况下事实上无论你用什么加密方式都可以轻易地伪造你的身份的,无论你用什么POST你的密文,包括HTTPS也可以通过证书替换甚至直接强制切到HTTP等方式使其无效。

    所以加密这个用途不大,唯一的用途只有不让人看到你密码的原文而已。

发表评论

电子邮件地址不会被公开。 必填项已用*标注