测试准备
我们以https://demo.stylefeng.cn/为例
打开BurpSuite工具,并将请求拦截开关打开
开始测试
点击登录按钮,在BurpSuite工具拦截登录请求
在上图中,username、password信息都为明文传输,我们可以获取到用户名和密码,这样黑客就得到了有用信息。并且我们可以修改此信息,例如我们将admin修改为admins,那么访问后台的请求就会被篡改。
防御措施
目前主流的修改方式,将username、password信息封装为一个json串,并且对该json串做整体加密。主流加密方式最好选择非对称加密,例如国密sm2、RSA等。针对不同的开发语言,具体加密方法也不相同,这里不进行详述。