使用SSLStrip，密码仍然是加密的

Question

我在我的网络上做了SSLStrip (只是为了教育目的！)我有用户名等等。

system=Test&uid=dixon01&__password=hkulqlyhza&command=login&password=320dd485b1834cf8%7C%40%7C0bf892a5b7dbf901%7C%40%7C5e5f2722f2ed1cc0%7C%28%23%29%7C

ssl工作，与网站的连接是http，但密码仍然是加密的吗？密码算为加密吗？还是只是在编码？

Answer 1

SSLStrip是一个透明的代理，用于通过单击SSL链接来防止MITM攻击的受害者使用SSL。要实现这一目标，SSLStrip将以https://开始的所有链接替换为http://。这背后的想法是，大多数用户不知道加密，只是使用加密，因为所有者的网页链接，甚至重定向他们到安全版本的网页。

您看到的请求显然没有加密，因为您可以读取它。所以这不是SSLStrip的问题。它是特定的应用程序。您可以使用javascript对密码进行预处理。例如，可以通过单击submit按钮来触发此进程。这样做是为了防止“帕斯沃德”( pasword )在电线上传播的情况。看来你正处于这样的境地。看一下带有firebug的网页。例如，您可以检查触发click事件时触发的肋函数按钮或触发keyup事件时的输入文本字段。