有時候,在測試中,發現開發僅僅只是加密了密碼就行了。因為他認為,只要用了不可逆的加密算法,你怎么破解,也沒法知道密碼是多少。但是,事實並不能這樣。
1、抓取登錄的賬號和密碼
包中顯示的密碼是加密后的字符串,但是我們可以不去破解這段密碼。而是.......
2、讓我們再抓一段密碼是我自己亂打的字符串,和正確的密碼字符串作為比對
3、接着,我們先將輸入正確的賬號和密碼提交到服務器,查看返回的內容
4、OK,那么我們又將含着錯誤密碼的報提交到服務器
5、我們看完兩個結果之后,讓我們將包里錯誤的密碼替換成加密的正確密碼,再提交給服務器
然后我們發現,提交給服務器之后,返回的內容和直接使用正確密碼提交的一致。所以,只要抓到正確的密碼,不管加不加密,都能直接拿去登錄。自然,后來我提出了給密碼加上時間戳等建議讓開發修復該漏洞。