抓包检测邮箱安全问题
来源:互联网 发布:如何自己制作动画知乎 编辑:程序博客网 时间:2024/06/11 10:31
今天早上通过使用wireshark抓包软件和foxmail客户端以及网页客户端对邮箱登陆的安全性进行测试,测试分为三种环境:
1,http登陆
通过wireshark抓包后,发现在http登录方式中,所有的用户名和密码都是通过明文进行提交,抓包可以非常容易获取用户名和密码,并且通过测试发现,如果在一台机器上登陆以后,服务器会生成一个随机的会话id,即sid,这个时候,用户在任何机器上,只需要输入指定的sid作为参数进行登陆就可以进行任何操作,不需要输入用户名和密码。例如,我在我的windows机器下登陆后,我抓包获取sid号,在Linux服务器上,通过curl工具进行登陆。
代码如下:
curl "mail.cstnet.cn/coremail/XPS/index.jsp?sid=BAqBKBqqkEEywnfqSoqqiDZCeqSNzuor&nodetect=true"
Linux服务器同样可以进行邮件操作,而不需要输入用户名和密码。这在一定程度上存在安全问题,尤其是在被网上黑客截获sid后,效果更佳明显。
2,https登陆
而使用https登陆邮箱时,不存在这样的问题,所有的会话都是加密,通过抓包,不能获取任何内容(至少我现在还不行),彻底解决了邮箱登陆的安全问题。
3,foxmail登陆
和https一样,采用的加密的方式,不能获取用户名和密码。
结论:通过以上分析,我们在使用邮箱时,为了邮箱安全考虑,最好使用https登陆方式,或者在foxmail中选择安全登陆方式,保护重要信息,http这种邮箱现在还是别用了。
- 抓包检测邮箱安全问题
- tcpdump抓包实例与arp抓包检测
- tcpdump抓包实例与arp抓包检测
- NIDS-端口扫描检测初步(抓包部分)
- 邮箱检测
- APP中https证书有效性验证引发安全问题(例Fiddler可抓https包)
- APP中https证书有效性验证引发安全问题(例Fiddler可抓https包)
- 抓包、
- 抓包
- 抓包
- 抓包
- 抓包
- 抓包
- 抓包
- 抓包
- 抓包
- 抓包
- 抓包
- 如何在Android下使用JNI
- struts做开发的时候action是继承Action方法还是ActionSupport方法
- Word 如何设置图片编号
- PHP截取中文字符串方法
- CreationOfKillzone3(杀戮地带3的制作)
- 抓包检测邮箱安全问题
- a ^= b ^= a ^= b看到了一个不需要中间变量交换两个的得方法
- 同一台机器配置多个域名的方法
- Java创建与获得对象的几种方式
- SVN 回退
- What transpires when rogueware is installed?
- 第一次当主考
- try throw new Exception 执行顺序
- 做网页在IE中能够居中但在火狐Firefox中不能居中解决办法