Commview应用实战 用Commview抓包分析网站登录安全性
闲来无事打开计算机又想起前不久淘来的Commview中文版软件于是拿来研究一番 目的是看看这个软件到底如何思路是通过Commview抓包分析网站登录安全性。要说这个软件单用户售价为299美元其他的如下图
它的同胞兄弟Commview for wifi售价如下
售价不菲让我们一起研究研究具体的软件可以去笔者度娘云盘下载,文件名 CommView.zip 。
该软件提供了强大的分析能力和解码功能。对于捕获的报文提供了一个专家分析系统进行分析还有解码选项及图形和表格的统计信息过滤器可以根据物理地址或IP地址和协议选择进行组合筛选另外可以设置捕获条件基本的捕获条件有两种 1、链路层捕获按源MAC和目的MAC地址进行捕获输入方式为十六进制连续输入如 00E0FC103E5A 2、 IP层捕获按源IP和目的IP进行捕获。输入方式为点间隔方式如 10.224.55.10。如果选择IP层捕获条件则ARP等报文将被过滤掉。好了上面是简单的向大家介绍了一下Commview的软件特性下面正式开始测试。
众说周知微信现在在中国大行其道不过我们接下来要讨论的不是微信而是与微信有关的一个产品。大家可能玩过微信微场景里面图文并茂声色据足。笔者最近也在做微场景用于微信拜年很好玩。微场景我一般用易企秀来做于是〃 〃 〃 〃问题来了那好我们现在就用Commview抓包做一下测试。
在使用易企秀的过程中笔者发现易企秀登录时并没有进行加密而是直接进行登录数据报文的传输那么用Commview来分析一下。
打开易企秀主页
选择登录这时弹出登录页面输入登录名和密码
这时打开Commview
点击左上角的三角按钮开始抓包这时点击浏览器中的登录等待登录成功后马上回到Commview点击三角按钮旁边的方块按钮停止抓包抓包后Commview得到如下列表
我们可以看到浏览器中有一个字节较大的连接双击它的条目进入日志查看器
双击第一条数据包条目出现TCP协议报文
黄色标记就是登录名和密码 Cookie中的pgv_pvi、 pgv_si以及set-cookie中的JSESSIONID都是用户登录网站时的认证数据特别是JSESSIONID保证了浏览器和服务器唯一性的通信凭证号码服务器根据浏览器发送来的sessionid作为一个唯一的key值找到对应的用户 JSESSIONID是j ava web语言中的变量对于一般的网站登录只要有这几个数值就可以登录了。
我们简单的分析一下数据包内容上面的请求行是POST当客户端给服务器提供信息较多时可以使用POST方法POST方法向服务器提交数据比如完成表单数据的提交将数据提交给服务器处理 POST会附带用户数据一般用于更新资源信息。 POST方法将请求参数封装在HTTP请求数据中以名称/值的形式出现可以传输大量数
据 User-Agent产生请求的浏览器类型;
A ccept客户端可识别的响应内容类型列表;星号 “ * ” 用于按范围将类型分组用 “ */* ” 指示可接受全部类型用“ type/* ”指示可接受type类型的所有子类型;
Accept-Language客户端可接受的自然语言;
Accept-Encoding客户端可接受的编码压缩格式;
Accept-Charset可接受的应答的字符集;
Host请求的主机名允许多个域名同处一个IP地址即虚拟主机;connection连接方式(close或keep alive);
Cookie存储于客户端扩展字段 向同一域名的服务端发送属于该域的cookie。
对于这类没有加密登录的网站如果数据包被劫持那么密码就会泄漏。当然这只是对安全要求不高的网站接下来我们看一看我们的文库同学登录时是如何的。
打开文库并开启Commview抓包然后点击登陆
抓包后如下图可以看到浏览器中出现了端口为http s的条目
双击字节最大的https条目进入日志查看器
点击封包查看TCP协议发现里面有很多乱码这就是文库在登录是使用了HTTPS加密协议将数据报文进行了加密所以里面有很多乱码关于HTTP S加密一般来说这种加密是比较安全的。
采用HTTP S协议的服务器必须要有一套数字证书这套证书其实就是一对公钥和私钥。如果对公钥和私钥不太理解可以想象成一把钥匙和一个锁头只是全世界只有你一个人有这把钥匙你可以把锁头给别人别人可以用这个锁把重要的东西锁起来然后发给你 因为只有你一个人有这把钥匙所以只有你才能看到被这把锁锁起来的东西。这个证书其实就是公钥只是包含了很多信息如证书的颁发机构、过期时间、加密类型等等。客户端解析证书这部分工作是由客户端的TLS来完成的首先会验证公钥是否有效比如颁发机构、过期时间、加密类型等等如果发现异常则会弹出一个警告框提示证书存在问题。如果证书没有问题那么就生成一个随机值。然后用证书对该随机值进行加密。就好像上面说的把随机值用锁头锁起来这样除非有钥匙不然看不到被锁住的内容。传送加密信息是用证书加密后的随机值 目的就是让服务端得到这个随机值 以后客户端和服务端的通信就可以通过这个随机值来进行加密解密了。服务端用私钥解密后得到了客户端传过来的随机值(私钥) 然后把内容通过该值进行对称加密。所谓对称加密就是将信息和私钥通过某种算法混合在一起这样除非知道私钥不然无法获取内容而正好客户端和服务端都知道这个私钥所以只要加密算法够彪悍私钥够复杂数据就够安全。传输加密后这部分信息是服务端用私钥加密后的信息可以在客户端被还原。客户端用之前生成的私钥解密服务段传过来的信息于是获取了解密后的内容。整个过程第三方即使监听到了数据也束手无策。这也就是我们为什么抓包得到乱码的原因。
让我们看看QQ空间的情况抓包方法同上抓包如下图
查看查看TCP协议
部分认证数据名称
提交的是密码和cookie认证数据浏览器也会缓存这个cookie 下面让我们看看部分cookie值函数算法
应该说QQ空间的加密还是比较好的实际上在数据传输时它依然采用SSL加密连接在数据提交时会同时提交帐号信息、密码以及认证数据如Cookie中的pgv_pvi、 pgv_si等等实际上服务器上已经有帐号的部分认证数据浏览器根据算法和密码做一个随机的认证数据生成 认证通过后将浏览器跳到空间首页在这个阶段使用HTTP协议 另外关于最关键的密码当然还是要发送给服务器的采用SSL加密传输 。
新浪微博笔者没有测试不过在登录时其采用http s加密有效保障了数据的安全性。关于这类测试如果大家有兴趣可以自己做一下。
提速啦的来历提速啦是 网站 本着“良心 便宜 稳定”的初衷 为小白用户避免被坑 由赣州王成璟网络科技有限公司旗下赣州提速啦网络科技有限公司运营 投资1000万人民币 在美国Cera 香港CTG 香港Cera 国内 杭州 宿迁 浙江 赣州 南昌 大连 辽宁 扬州 等地区建立数据中心 正规持有IDC ISP CDN 云牌照 公司。公司购买产品支持3天内退款 超过3天步退款政策。提速啦的市场定位提速啦主...
DMIT.io是成立于2018年的一家国外主机商,提供VPS主机和独立服务器租用,数据中心包括中国香港、美国洛杉矶和日本等,其中日本VPS是新上的节点,基于KVM架构,国际线路,1Gbps带宽,同时提供月付循环8折优惠码,或者年付一次性5折优惠码,优惠后最低每月8.72美元或者首年65.4美元起,支持使用PayPal或者支付宝等付款方式。下面列出部分日本VPS主机配置信息,价格以月付为例。CPU:...
VPSDime是2013年成立的国外VPS主机商,以大内存闻名业界,主营基于OpenVZ和KVM虚拟化的Linux套餐,大内存、10Gbps大带宽、大硬盘,有美国西雅图、达拉斯、新泽西、英国、荷兰机房可选。在上个月搞了一款达拉斯Linux系统VPS促销,详情查看:VPSDime夏季促销:美国达拉斯VPS/2G内存/2核/20gSSD/1T流量/$20/年,此次推出一款Windows VPS,依然是...