1. 用網頁登錄飛信的網站(這里顯示的是https，但是在傳輸密碼時沒有加密 )： https://webim.feixin.10086.cn/

2. 使用firebug可是看到它使用的是https://webim.feixin.10086.cn/js/login.js?2010121001 來實現登錄的。

??? 具體的source不貼出來的，但是關鍵的部分如下：

function j() {var m = new Object();m.success = k;m.error = b;if (__calluser) {m.url = loginUrl + "?calluser=" + __calluser} else {m.url = loginUrl}m.type = "POST";var l = 0;if (!f("#login_chk_1").attr("checked")) {l = 400}m.data = {UserName: f("#login_username").val().trim(),Pwd: f("#login_pass").val(),Ccp: f("#login_code").val(),OnlineStatus: l};m.dataType = "json";loadingPanel.show();f.ajax(m)}

?

3. 從source中可以看到它是通過ajax 用post方法將數據傳輸到server的，但是使用firebug查看的話，

??? 它是將密碼明文發送的，所以會有中間人攻擊的可能，尤其是公司是經過代理上網的，管理員在代理服務器上

??? 可以通過http post數據得到用戶的密碼 。

4. 例子如下：

?

POST /WebIM/Login.aspx HTTP/1.1

UserName=13468718000 &Pwd=aaaaaaaaaa &Ccp=8kvs&OnlineStatus=400

^用戶的手機號碼(這里是隨便輸入的)? ^密碼

?

看來網上安全需要注意，我還嘗試了renren和web.qq.com。

renren也是通過明文來傳輸密碼的，但是web.qq.com不是，它是通過md5算法散列的， 關鍵的一行是

"H += md5(md5_3(B.p.value) + G);"

? ? ? ? ? ? ? ??????????????? ^密碼?????????? ^verifycode（可以通過http get 數據獲得）

?

例如，一個web qq登錄請求：

GET /login?u=555555555&p=F018505DE8B66FBCB8CD7F1A04101870&verifycode=!AG0&remember_uin=1&aid=1003903&u1=http%3A%2F%2Fweb.qq.com%2Floginproxy.html%3Flogin_level%3D3&h=1&ptredirect=0&ptlang=2052&from_ui=1&pttype=1&dumy=&fp=loginerroralert&mibao_css= HTTP/1.1

?

密碼"111111111"經過4次md5散列后的變成了"F018505DE8B66FBCB8CD7F1A04101870", verifycode是：!AG0

?

refs: js beauty online 很好用? http://jsbeautifier.org/?

?

----

https://mail.qq.com 也是通過明文來傳輸密碼的，例如，一個登錄請求：

POST /cgi-bin/login?sid=,2,zh_CN HTTP/1.1

sid=%2C2%2Czh_CN&firstlogin=false&starttime=1303269953187&redirecturl=&f=html&p=111111&ept=0&delegate_url=&s=&ts=1303269964&from=&ppp=&chg=0&target=&checkisWebLogin=9&uin=dddd&aliastype=@qq.com&pp=000000&verifycode=

uin=dddd 是用戶名， p=111111是密碼

總結

以上是生活随笔為你收集整理的网页版飞信(Fetion)的安全问题的全部內容，希望文章能夠幫你解決所遇到的問題。

如果覺得生活随笔網站內容還不錯，歡迎將生活随笔推薦給好友。