HTTP 网络请求传输中存在哪些风险呢?我们用一个虚构的小故事来描述。
风险描述
想象一下这样的场景,你想背着你女朋友存一笔私房钱,现在有一个叫 XXX 的平台,听说把钱存进去还可以获取一定的收益。 你转念一想,不错哎,既可以起到把钱收起来的作用,还可以有一点小收益,于是你就把你银行卡里绑定到 XXX 平台上了,把卡里的钱留了 200 块,其余全部充值到 XXX 这个平台上了。这下每次都坦然的给你女朋友看你的银行卡,你看我卡里就 200 块钱哪里有什么私房钱啊!
可是你没想到啊,你女朋友是个程序媛啊,闲下来就瞎捣鼓。突然,她想不对,你每个月不花什么钱啊,应该不止 200 块钱,肯定是藏了私房钱。这不,晚上,就给你来了个烛光晚餐,不知不觉你就喝多了,酒后吐真言。说悄悄告诉你一个秘密,我把我私房钱放到一个叫 XXX 的平台啦,可是我是不会告诉你账号和密码哦。女朋友得知了 XXX,访问了一下它的官方,发现这个平台竟然还是用的 HTTP 协议,这安全防护级别也太低了吧。心想:“好吧,你不是不告诉密码么?我就稍微使用个小伎俩,通过抓包软件抓取你和 XXX 平台进行通信的数据”。
第二天女朋友撒娇的说:“明天我就过生日啦,你能不能买个小礼物送给我啊”。你一想我可是有钱人,藏的私房钱也是想给女朋友惊喜的啦,其实没用其他坏心思的咯。一口就答应了说:“好,你就等着收礼物吧”!立马从 XXX 的平台提现了 500 块。其实,女朋友就等你提现呢,从抓包软件上抓到了你和平台交互的数据。
女朋友查看了一下数据,发现密码被加密了,其他都看的清楚,从平台取了 500 块钱。密码被加密了没关系,虽然不能直接拿到账号和密码去网站登录查看信息,但是通过把这个数据再请求一遍还是可以提现 500 块的。可是转念一想,提 500 块是不是有点多了,就提个 100 吧,这样金额小,不易被察觉。于是,女朋友把请求的提取金额改为了 100 发送了请求。恰巧,你银行卡就放在了刚换下来的西服里,带着银行卡,你女朋友把你刚刚从平台提取的 100 块钱,从卡里取了出来。之后你很久都没去平台登录,你仿佛记得你的卡里好像还有 15100 块钱,几个月后你登录了平台看了下余额还有 15000,你觉得差不多就这么多钱,也没有多想。
风险分析:
嗯,那么现在我们来看一下,从上面虚构的情节中可以看到:平台使用的是 HTTP 通信协议,如果不做任何数据安全防护工作,存在的安全风险有:
- 数据被监听窃取:通过软件抓包,可以看到请求的内容
- 数据被篡改: 请求的数据被修改
- 中间人重放攻击:数据被中间人监听到,再次发送给服务器
解决方法:
解决方式很简单,我们只要将请求方式从 HTTP 改为 HTTPS 就可以做到数据传输中的,防窃听、防篡改、和中间人重放的问题。具体 https 是如何做到的,我们将在下一篇文章进行介绍。
