中间人攻击的方法(别用来做坏事哦):
Ubuntu 14.04 在Wifi环境下实施中间人攻击偷取用户名和密码
嗅探的结果是:
针对几个著名的IT企业进行测试:
可以抓到明文密码:163邮箱,京东,12306,Acfun
可以抓到前端加密后的密码:百度贴吧,淘宝手机版
不可以抓:QQ邮箱,淘宝电脑版,Bilibili然后是几乎所有的小网站都不带https的,可以随便抓
本博客是带有https小绿锁的哦~(虽然没什么卵用)针对第二种情况,虽然抓不到明文密码,但是可以抓到Cookie,通过Cookie也是可以登录的
第三种情况是连网页都打不开 QAQ
使用HTTPS和在前端用JavaScript加密密码之后可以在一定程度上防止嗅探密码,但是即使你的Cookie是HTTP Only的也是能被嗅探到的。
那么怎样才能防止中间人攻击嗅探到密码?
或者说像BiliBili这样的网站使用的是什么黑科技?
B站 dologin 表单:
都是纯HTTP请求拦截很轻松
真正防止中间人除了HTTPS不要想别的,已经被无数的人证实过了。js加密纯粹掩耳盗铃一叶障目的事。
关键JS代码
https://static-s.bilibili.com/passport/seajs/plugin/jsencrypt.min.js