整个对3GQQ的登录分析过程如下:
1、首先使用火狐浏览器自定义User-Agent(用户代理)后访问手机腾讯网3G版(普通版),然后选择“QQ”进行登录抓包分析,很明显这是一个POST的登录表单,如下图:
根据图片的显示我们不难看出,在登录3GQQ时,你的密码是以明文方式向腾讯服务器提交验证的(就是图中的 pwd 999999999),数据传输过程中没有任何的加密措施,如若直接在电脑端登录使用,由于PC网络环境(包括内外网,而手机WAP端相对比较靠谱些)比较复杂,极易造成密码泄漏的风险。猜测这也是很多“手机党”的Q友无缘无故密码被盗,就可想而知了。
2、然后再来对比测试一下3GQQ触屏版的登录过程,为方便测试仍然借助火狐来截包分析,很简单,看图:
从POST参数很明显可以看到,通过触屏版登录手机腾讯网时,密码首先会在本地进行32位md5加密后才会发送到远程验证的(如图中标注的 pmd5 C8C605999F3D8352D7BB792CF3FDB25B)。所以更加安全的选择就是使用触屏版咯,这样即便数据包被坏人截获,由于md5加密算法的特殊性,对方也无法将密码还原为明文,当然,如果你的密码过于简单,还是会被还有为明文的。
……