APP账号密码传输安全分析

        最近在搞公司的安卓APP测试(ThinkDrive 企邮云网盘)测试，安卓app测试时使用代理抓包，发现所此app使用HTTP传输账号密码，且密码只是普通MD5加密，存在安全隐患，无法防止sniffer攻击、中间人攻击（因此这次安全问题，加强对这两安全术语的了解）：

问题1：账号密码采用http传输，账号与密码(MD5值)均可以捕获；

问题2：密码虽采用MD5加密，简单密码可以在线解密；

问题3：密码不解密也一样可以登录，通过A账号在app登录，再用sniffer得到的B 帐号与密码（MD5值），使用Fiddler修改A账号的请求完成B账号在APP登录

 

     公司邮箱各版本其实使用的也是明文传输，最近WEB虽采用了HTTPS传输，但仍是传输的明文，可以抓包查看（HTTPS也可通过Fiddler解析成明文），基于此原因，于是对主流邮箱登录进行抓包分析，本文主要分析QQ是如何把账号密码从客户端传到服务端，学习借鉴相关经验。

 

===========分析结果（Findyou）===============

【QQ触屏版】

测试帐号：2198400585

用户密码：123qwe

加密方法：RSA非对称加密

传输协议：HTTPS

 

【WEB版】

测试帐号：2198400585

用户密码：123qwe

加密方法：MD5(hexchar2bin(MD5(密码))+QQ号16进制)+验证码) 

传输协议：HTTPS

分析结论：使随机验证码混合MD5加密以保证每次登录的值不一样

===========分析结果（Findyou）===============

 

 

• 【QQ触屏版分析】

 

 

 

 

操作步骤：1.使用Chrome修改浏览器User Agent为iphone

              2.打开Fiddler准备抓包

              3.访问mail.qq.com，QQ会自动适配到触屏版

              4.查看http://w.mail.qq.com/cgi-bin/loginpage?f=xhtml源码

得到关键代码如下：

    loginForm.onsubmit = function(){
        var pwd = document.getElementById("pwd");
        var p = document.getElementById("p");
        var tsValue = document.getElementById("ts").value;
        var PublicKey = "CF87D7B4C864F4842F1D337491A48FFF54B73A17300E8E42FA365420393AC0346AE55D8AFAD975DFA175FAF0106CBA81AF1DDE4ACEC284DAC6ED9A0D8FEB1CC070733C58213EFFED46529C54CEA06D774E3CC7E073346AEBD6C66FC973F299EB74738E400B22B1E7CDC54E71AED059D228DFEB5B29C530FF341502AE56DDCFE9";
            var RSA = new RSAKey();
            RSA.setPublic(PublicKey, "10001");
        var Res = RSA.encrypt(pwd.value+ '\n' + tsValue + '\n');
        if (Res)
        {
            p.value = hex2b64(Res);
            pwd.value = "";
        }
        return true;
    }

如此可以看使用加密方法： RSA公钥加密算法

Fiddler抓包如下：（P为密码加密后的值）

 

 

 

 

 

• 【WEB版分析】

 

注：网上查阅众多相关资料（网上有许多介绍QQ登录相关的内容），总结实践测试截图抓包如下

 

Step1:  打开mail.qq.com，向服务器 获取验证码 

捕获请求：

https://ssl.ptlogin2.qq.com/check?uin=2198400585@qq.com&appid=522005705&ptlang=2052&js_type=2&js_ver=10009&r=0.8771616001613438

返回数据有两种情况:

1). ptui_checkVC('1','aabf7b95f41689c5872740515288dcb5b1911c3de95f2092','\x00\x00\x00\x00\x83\x08\xee\x49');

2). ptui_checkVC('0','!BQI','\x00\x00\x00\x00\x83\x08\xee\x49');

其中 ‘1’代表需要验证码，‘0’代表不需要验证码 ，'!BQI' 就是默认的验证码；

 

Step2: 密码加密 

腾讯JS加密代码： 

M=C.p.value;

var I=hexchar2bin(md5(M));

var H=md5(I+pt.uin);

var G=md5(H+C.verifycode.value.toUpperCase());

 

密码“123qwe”通过以上加密方法，得到的结果与抓包请求中的加密值一样（请求截图见Step3）

pt.uin =  \x00\x00\x00\x00\x83\x08\xee\x49     QQ号 2198400585的16进制 000000008308ee49 

 

 

Step3：登录请求

捕获请求： 

https://ssl.ptlogin2.qq.com/login?ptlang=2052&aid=522005705&daid=4&u1=https%3A%2F%2Fmail.qq.com%2Fcgi-bin%2Flogin%3Fvt%3Dpassport%26vm%3Dwpt%26ft%3Dptlogin%26ss%3D%26validcnt%3D%26clientaddr%3D2198400585%40qq.com&from_ui=1&ptredirect=1&h=1&wording=%E5%BF%AB%E9%80%9F%E7%99%BB%E5%BD%95&css=https://mail.qq.com/zh_CN/htmledition/style/fast_login148203.css&mibao_css=m_ptmail&u_domain=@qq.com&uin=2198400585&u=2198400585@qq.com&p= 15A6FB7C3A0F0F12BE2BB2BFA52F7BDF&verifycode= !BQI&fp=loginerroralert&action=2-6-30865&g=1&t=1&dummy=&js_type=2&js_ver=10009

 

登录成功后返回的数据：

ptuiCB('0','0','https://ssl.ptlogin2.mail.qq.com/check_sig?pttype=1&uin=2198400585&service=login&nodirect=0&ptsig=9mgQ2dwnOftcwH965zksFLFPidMP2zxKQZJXkxdfOy0_&s_url=https%3a%2f%2fmail.qq.com%2fcgi-bin%2flogin%3fvt%3dpassport%26vm%3dwpt%26ft%3dptlogin%26ss%3d%26validcnt%3d%26clientaddr%3d2198400585%40qq.com&f_url=&ptlang=2052&ptredirect=101&aid=522005705&daid=4&j_later=0&low_login_hour=0&regmaster=0','1','登录成功！', 'QQ');

 

 

分析以上两种方法，采用非对称式（公/私钥）加密方法较为安全，已建议APP小组研发采用RSA非对称加密，使用HTTPS实现登录。

 

转载请注明出处：Findyou