為什麼不提倡我們連線無密碼的wifi
工具/原料
wireshark
方法/步驟
這幾天閒來無事,打開了一個手機APP,這個App內容很不錯,我想要借用其中的內容,但是這個APP對應的網站並不對開發者開放API(應用程式程式設計介面),於是我就準備開始抓包。(抓包,就是將網路傳輸傳送與接收的資料包進行截獲、重發、編輯、轉存等操作,也用來檢查網路安全,但往往被某些人用來網遊作弊,等 ——via 百度百科)
下載一個軟體
然後用手機連線上自家的wifi
點選後開始監聽請求。
然後我就可以通過搜尋“HTTP” 將使用HTTP協議的請求全部捕獲 然後就可以分析了。為什麼要說這個呢?因為以上是一個可以軟體來分析你瀏覽了哪些網頁 向伺服器投遞了什麼資訊 的監聽過程 但是這個是基於一個wifi環境下的 那麼如果我們將這個wifi的密碼設定為無密碼呢? 如果你家在公共場所或者是其他地方, 你就可以通過修改你家的WiFi網路名稱 使得附近使用者連入你設定的這個偽造的wifi 連入了又怎樣?有什麼用嗎?當然,眾所周知,很多網站(不重視安全)在登入的過程中基本會向一個login頁面Post以下資訊username=xxxxx&password=123456上面的xxxxx就是你的使用者名稱 然後123456就是密碼 很多網站並不在提交的時候進行MD5值本地加密後投遞,(例如騰訊公司的3GQQ登入)那麼我們就可以利用這個使用者名稱和密碼進行非法操作,盜取使用者的密碼。或者是有的使用者在網頁填寫個人資訊後投遞的例如家庭住址、聯絡電話、身份證號碼、銀行卡號 都可以被截獲,進行分析利用。由於人的弱點 密碼並不會使用多個 基本也就是翻來覆去那幾個 不大可能(排除掉一些人)會登入每一個網站換一個密碼 所以只要獲得了一個密碼 然後很多網站的密碼也都會洩露 和 撞庫攻擊 的利用差不多附圖:
