加密Commview应用实战用Commview抓包分析网站登录安全性

Commview应用实战 用Commview抓包分析网站登录安全性

闲来无事打开计算机又想起前不久淘来的Commview中文版软件于是拿来研究一番 目的是看看这个软件到底如何思路是通过Commview抓包分析网站登录安全性。要说这个软件单用户售价为299美元其他的如下图

它的同胞兄弟Commview for wifi售价如下

售价不菲让我们一起研究研究具体的软件可以去笔者度娘云盘下载,文件名 CommView.zip 。

该软件提供了强大的分析能力和解码功能。对于捕获的报文提供了一个专家分析系统进行分析还有解码选项及图形和表格的统计信息过滤器可以根据物理地址或IP地址和协议选择进行组合筛选另外可以设置捕获条件基本的捕获条件有两种 1、链路层捕获按源MAC和目的MAC地址进行捕获输入方式为十六进制连续输入如 00E0FC103E5A 2、 IP层捕获按源IP和目的IP进行捕获。输入方式为点间隔方式如 10.224.55.10。如果选择IP层捕获条件则ARP等报文将被过滤掉。好了上面是简单的向大家介绍了一下Commview的软件特性下面正式开始测试。

众说周知微信现在在中国大行其道不过我们接下来要讨论的不是微信而是与微信有关的一个产品。大家可能玩过微信微场景里面图文并茂声色据足。笔者最近也在做微场景用于微信拜年很好玩。微场景我一般用易企秀来做于是〃 〃 〃 〃问题来了那好我们现在就用Commview抓包做一下测试。

在使用易企秀的过程中笔者发现易企秀登录时并没有进行加密而是直接进行登录数据报文的传输那么用Commview来分析一下。

打开易企秀主页

选择登录这时弹出登录页面输入登录名和密码

这时打开Commview

点击左上角的三角按钮开始抓包这时点击浏览器中的登录等待登录成功后马上回到Commview点击三角按钮旁边的方块按钮停止抓包抓包后Commview得到如下列表

我们可以看到浏览器中有一个字节较大的连接双击它的条目进入日志查看器

双击第一条数据包条目出现TCP协议报文

黄色标记就是登录名和密码 Cookie中的pgv_pvi、 pgv_si以及set-cookie中的JSESSIONID都是用户登录网站时的认证数据特别是JSESSIONID保证了浏览器和服务器唯一性的通信凭证号码服务器根据浏览器发送来的sessionid作为一个唯一的key值找到对应的用户 JSESSIONID是j ava web语言中的变量对于一般的网站登录只要有这几个数值就可以登录了。

我们简单的分析一下数据包内容上面的请求行是POST当客户端给服务器提供信息较多时可以使用POST方法POST方法向服务器提交数据比如完成表单数据的提交将数据提交给服务器处理 POST会附带用户数据一般用于更新资源信息。 POST方法将请求参数封装在HTTP请求数据中以名称/值的形式出现可以传输大量数

据 User-Agent产生请求的浏览器类型;

A ccept客户端可识别的响应内容类型列表;星号 “ * ” 用于按范围将类型分组用 “ */* ” 指示可接受全部类型用“ type/* ”指示可接受type类型的所有子类型;

Accept-Language客户端可接受的自然语言;

Accept-Encoding客户端可接受的编码压缩格式;

Accept-Charset可接受的应答的字符集;

Host请求的主机名允许多个域名同处一个IP地址即虚拟主机;connection连接方式(close或keep alive);

Cookie存储于客户端扩展字段 向同一域名的服务端发送属于该域的cookie。

对于这类没有加密登录的网站如果数据包被劫持那么密码就会泄漏。当然这只是对安全要求不高的网站接下来我们看一看我们的文库同学登录时是如何的。

打开文库并开启Commview抓包然后点击登陆

抓包后如下图可以看到浏览器中出现了端口为http s的条目

双击字节最大的https条目进入日志查看器

点击封包查看TCP协议发现里面有很多乱码这就是文库在登录是使用了HTTPS加密协议将数据报文进行了加密所以里面有很多乱码关于HTTP S加密一般来说这种加密是比较安全的。

采用HTTP S协议的服务器必须要有一套数字证书这套证书其实就是一对公钥和私钥。如果对公钥和私钥不太理解可以想象成一把钥匙和一个锁头只是全世界只有你一个人有这把钥匙你可以把锁头给别人别人可以用这个锁把重要的东西锁起来然后发给你 因为只有你一个人有这把钥匙所以只有你才能看到被这把锁锁起来的东西。这个证书其实就是公钥只是包含了很多信息如证书的颁发机构、过期时间、加密类型等等。客户端解析证书这部分工作是由客户端的TLS来完成的首先会验证公钥是否有效比如颁发机构、过期时间、加密类型等等如果发现异常则会弹出一个警告框提示证书存在问题。如果证书没有问题那么就生成一个随机值。然后用证书对该随机值进行加密。就好像上面说的把随机值用锁头锁起来这样除非有钥匙不然看不到被锁住的内容。传送加密信息是用证书加密后的随机值 目的就是让服务端得到这个随机值 以后客户端和服务端的通信就可以通过这个随机值来进行加密解密了。服务端用私钥解密后得到了客户端传过来的随机值(私钥) 然后把内容通过该值进行对称加密。所谓对称加密就是将信息和私钥通过某种算法混合在一起这样除非知道私钥不然无法获取内容而正好客户端和服务端都知道这个私钥所以只要加密算法够彪悍私钥够复杂数据就够安全。传输加密后这部分信息是服务端用私钥加密后的信息可以在客户端被还原。客户端用之前生成的私钥解密服务段传过来的信息于是获取了解密后的内容。整个过程第三方即使监听到了数据也束手无策。这也就是我们为什么抓包得到乱码的原因。

让我们看看QQ空间的情况抓包方法同上抓包如下图

查看查看TCP协议

部分认证数据名称

提交的是密码和cookie认证数据浏览器也会缓存这个cookie 下面让我们看看部分cookie值函数算法

应该说QQ空间的加密还是比较好的实际上在数据传输时它依然采用SSL加密连接在数据提交时会同时提交帐号信息、密码以及认证数据如Cookie中的pgv_pvi、 pgv_si等等实际上服务器上已经有帐号的部分认证数据浏览器根据算法和密码做一个随机的认证数据生成  认证通过后将浏览器跳到空间首页在这个阶段使用HTTP协议 另外关于最关键的密码当然还是要发送给服务器的采用SSL加密传输 。

新浪微博笔者没有测试不过在登录时其采用http s加密有效保障了数据的安全性。关于这类测试如果大家有兴趣可以自己做一下。