有时候,在测试中,发现开发仅仅只是加密了密码就行了。因为他认为,只要用了不可逆的加密算法,你怎么破解,也没法知道密码是多少。但是,事实并不能这样。
1、抓取登录的账号和密码
包中显示的密码是加密后的字符串,但是我们可以不去破解这段密码。而是.......
2、让我们再抓一段密码是我自己乱打的字符串,和正确的密码字符串作为比对
3、接着,我们先将输入正确的账号和密码提交到服务器,查看返回的内容
4、OK,那么我们又将含着错误密码的报提交到服务器
5、我们看完两个结果之后,让我们将包里错误的密码替换成加密的正确密码,再提交给服务器
然后我们发现,提交给服务器之后,返回的内容和直接使用正确密码提交的一致。所以,只要抓到正确的密码,不管加不加密,都能直接拿去登录。自然,后来我提出了给密码加上时间戳等建议让开发修复该漏洞。