在没有https的情况下 , 对密码进行md5安全性等于0!
有些网站没有https很正常 , 因为网站站长根本就不懂技术嘛!
但对于程序员 , 对接口只采用md5进行所谓的“加密”就不能原谅了!
虽然他们写的接口 , 不像网站暴露在外面 , 只是前后端相互调用 , 但要抓他们的包真的轻而易举 。
抓到调用接口和经过md5“加密”的参数怎么“调戏”这个程序员?
这时候 , 你也许会说 , 我根本没传输密码啊 , 只是md5值啊 ,
后端我就用数据库存储的密码也进行md5 , 将md5值对比一下就可以判断是否正确的密码啊 ,
即使你拦截到md5值也没用啊 。
没错 , 我是不知道你的原密码 , 所以我没法在网页里输入原密码 , 但我根本不需要通过网页输入 。
直接通过postman调用你的接口行不行?行 。
调用接口的时候一般都是拿到已经md5过了的字符串 , 我无须关心原来是什么 , 直接接口传入的是这个字符就可以 。然后我就调用不同需要这个md5值的借口 , 想要拿什么数据就拿什么数据 , 想要修改什么就修改什么 。
简不简单?简单 。
也就是说 , 我把这个md5后的字符串 , 当作密码来用 , 一点问题都没有 。
所以你必须配合https对传输的内容进行加密 。
https抓包也可以明文显示 , 安全吗?
正如上面这个问题 , 有些人要跳出来挑战我了 。
来源网络:https抓包明文显示原理图
他们通过Charles抓包 , 在电脑安装信任Charles证书 , 且在手机端安装Charles抓包软件的证书后 , 在Charles确实可以看到明文
没配置证书抓到的包是密文显示
配置证书后 , 抓到的包是明文显示
你或许能通过某种见不得人的手段 , 拦截到了客户的包 , 但你也得要别人同意安装你的证书才行 。
有人说 , 还有什么伪证书方式 , 我只想说 , 难不难 , 你试试才知道?老实说 , 我确实不懂 , 也不想暂时不想研究下去了 。
以上关于本文的内容,仅作参考!温馨提示:如遇健康、疾病相关的问题,请您及时就医或请专业人士给予相关指导!
「四川龙网」www.sichuanlong.com小编还为您精选了以下内容,希望对您有所帮助:- 加拿大生活的常识有什么?
- 欲罢不能是什么意思 欲罢不能是什么意思
- 比硬件垄断可怕!四大外资拿捏中国制造“大脑”,中企嫌弃国产
- 过度劳累后洗热水澡致休克怎么回事 为什么劳累后不能洗澡
- 冰糖葫芦能不能放冰箱 冰糖葫芦能放冰箱吗
- 戴朱砂为什么不能沾水 朱砂可以沾水吗?
- 飞机不能带的东西有哪些 飞机不能带的东西
- 微波炉加热可以用不锈钢吗 不锈钢能不能用微波炉加热
- 拯救婚姻:这九个婚姻危机不能忽略
- 柴米油盐酱醋茶,为什么柴不能吃,却放在第一位?