南京市第二十九中學（高中部） 胡 越

1.引言

在當今社會，網(wǎng)絡已經(jīng)成為了我們生活中的必需品，從瀏覽新聞到網(wǎng)上購物，用戶的個人信息在網(wǎng)絡中出現(xiàn)的頻率越來越高。隨著2017年6月1日《網(wǎng)絡安全法》的實施，很多網(wǎng)站要求用戶進行實名認證，這使得網(wǎng)絡中關于用戶的數(shù)據(jù)越來越敏感。因此，網(wǎng)絡安全問題的關注度也越來越高。

此外，《網(wǎng)絡安全法》規(guī)定了網(wǎng)絡運營者在網(wǎng)絡安全方面的義務，其中《網(wǎng)絡安全法》第二十一條規(guī)定：網(wǎng)絡運營者應“采取防范計算機病毒和網(wǎng)絡攻擊，網(wǎng)絡侵入等危害網(wǎng)絡安全行為的技術支持?！痹谖覀內粘Ｉ钪忻媾R著很多安全問題，但網(wǎng)絡運營者是否采取相應的安全措施卻是一個未知數(shù)。以最常見的網(wǎng)頁訪問場景為例，現(xiàn)有的HTTP協(xié)議存在明文傳輸?shù)陌踩┒矗m已有安全系數(shù)較高的HTTPS協(xié)議，但有部分網(wǎng)站仍然使用HTTP協(xié)議進行敏感數(shù)據(jù)的傳輸，但這些運營者是否采取了相應的安全措施，卻不得而知[1]。

本文將利用Wireshark軟件針對HTTP協(xié)議數(shù)據(jù)包進行抓取分析，探究部分使用HTTP協(xié)議的網(wǎng)站是否存在信息泄漏問題。文章組織結構如下，第二章將對實驗中所需的基礎知識進行介紹，第三章將從不同場景研究分析HTTP協(xié)議數(shù)據(jù)包信息泄露的問題。

2.理論基礎

HTTP協(xié)議即為超文本傳輸協(xié)議（Hypertext Transfer Protocol）的簡稱[2]，是應用層的協(xié)議，被廣泛應用于全球信息服務系統(tǒng)。HTTP是一個客戶端和服務器端請求和應答的標準。通過HTTP協(xié)議，可以使得信息傳遞和回復具有同一性，因此，當一個與服務器建立連接的設備向服務器發(fā)送請求后，服務器可以快速準確的做出響應。所以，一般將HTTP報文分為請求報文及應答報文，其中請求報文含有用戶想服務器請求數(shù)據(jù)的地址以及所要提交的數(shù)據(jù)，此部分數(shù)據(jù)較為敏感。

HTTP協(xié)議規(guī)定的數(shù)據(jù)請求方法有GET、HEAD、POST、PUT、DELETE、TRACE、CONNECT等，其中GET是用來從服務器上獲得數(shù)據(jù)的，而POST是用來向服務器傳遞數(shù)據(jù)的。常見的登錄、注冊場景就采用POST方法來提交數(shù)據(jù)。在POST方法下，提交的內容會在報文負載中，以明文形式存在，在GET方法下，提交的內容在報文頭中的URI里[3,4]。本文后續(xù)的實驗中就利用HTTP請求數(shù)據(jù)包的這些特點，針對POST，GET方法的數(shù)據(jù)包進行抓取分析。

3.實驗結果及分析

由于HTTP協(xié)議在進行數(shù)據(jù)傳輸?shù)倪^程中直接使用明文傳輸，因此，傳輸過程中用戶信息極易被嗅探捕獲，本文將通過對數(shù)據(jù)包的抓取實驗，從登錄和非登陸場景兩方面來分析網(wǎng)絡運營者針對HTTP協(xié)議明文傳輸?shù)穆┒词欠癫扇∠鄳胧?/p>

3.1 登錄場景

圖1所示為某稅務局官網(wǎng)的登錄界面，用戶輸入信息后即可進入該網(wǎng)站的舉報欄。使用賬號“test”及密碼“123456”進行登錄操作并利用Wireshark捕獲數(shù)據(jù)包，并運用過濾器進行篩選，提取“Protocol”為“HTTP”的數(shù)據(jù)包，分析含有“POST”字符的數(shù)據(jù)包。由于用戶在登錄界面上提交信息時使用POST的方法傳輸報文，因此“Info”中的“POST/jzxx/relogin.do HTTP/1.1…”中就包含了用戶的登錄信息。實驗結果如圖2所示，在相關HTTP數(shù)據(jù)包的負載中出現(xiàn)了賬號密碼字段，其中“username”=“test”即為用戶名，而“password”=“123456”作為密碼卻未經(jīng)加密，直接采取明文的方式顯示，如圖2所示。

圖1 某稅務局官網(wǎng)登錄界面

圖2 某稅務局官網(wǎng)登錄時數(shù)據(jù)包截獲圖

此外，某中學網(wǎng)站存在類似的賬號密碼泄漏問題。使用Wireshark軟件針對登錄場景進行抓包分析，實驗結果如圖3所示。不難發(fā)現(xiàn)該網(wǎng)站登錄場景的HTTP數(shù)據(jù)包負載中也存在明文的賬號密碼字段。其中，密碼字段“txtpassword=1234567”完全是以明文的形式呈現(xiàn)的。

圖3 某高校教育系統(tǒng)登錄時的數(shù)據(jù)包截獲圖

由此可見，賬號密碼的泄漏就發(fā)生在我們身邊，類似的明文傳輸造成賬號密碼泄漏的例子還有很多，這些網(wǎng)站在使用HTTP協(xié)議的基礎上并沒有采取有效的防范措施，這對人們的生活造成了一定的危害。

首先，用戶在這些網(wǎng)站的賬號密碼泄漏，用戶的個人隱私無法得到安全保障。更嚴重的是，現(xiàn)實生活中很多人在不同的網(wǎng)站上使用相同的賬號密碼來方便記憶，即使存在漏洞的網(wǎng)站并不包含任何有價值的個人信息，也存在關聯(lián)網(wǎng)站賬號泄露的可能。比如：用戶在支付寶等金融支付類軟件上使用了與問題網(wǎng)站相同的密碼，那么該密碼泄漏的后果將不堪設想。

此外，像圖1所示的舉報系統(tǒng)，如果無法確保舉報者信息的安全，那么也是不利于互相監(jiān)督的社會風氣的。再者，很多時候我們選擇使用手機號碼作為登錄賬號，即使只泄漏賬號，平時接到的詐騙或推銷信息也會隨之增多，這會給我們的生活帶來不必要的麻煩與搔擾。

3.2 非登錄場景

除了登錄場景的賬號密碼會被泄漏以外，其他非登錄場景同樣存在信息泄露的問題。百度地圖就存在位置信息泄露的問題，雖然百度大部分功能都采用了HTTPS協(xié)議，但百度地圖依然使用HTTP協(xié)議運行。打開百度地圖，登錄百度賬號后，點開編輯家庭地址一欄，如圖4所示：

圖4 百度地圖常用地址設置頁面

使用Wireshark捕獲數(shù)據(jù)包（如圖5，6所示），分析含有“POST”字符的數(shù)據(jù)包，就出現(xiàn)了“key”=“home”，“name”=“南京市......”等字段，其內容與設定的家庭地址一致，如圖5所示。

圖5 百度地圖編輯家庭住址時的數(shù)據(jù)包截獲圖

圖6 百度地圖搜索地址時的數(shù)據(jù)包截獲圖

此外，百度地圖的搜索記錄同樣存在泄露的問題。有圖6可知，在百度地圖搜索欄輸入目的地，使用Wireshark捕獲數(shù)據(jù)包，即可看到目的地名稱。用戶位置信息的泄漏，不法分子可以詳細了解用戶的住處，工作單位，學校以及用戶平時去處的偏好。如果廣告商獲取了這些信息，他們即可根據(jù)用戶信息發(fā)放宣傳手冊之類的雜志。所以，類似于家庭地址這樣的信息敏感度是很高的信息一旦泄漏，會給用戶帶來了很大的安全風險。

4.結論

本文通過對不同場景的HTTP數(shù)據(jù)包抓取結果的分析發(fā)現(xiàn)，雖然HTTP協(xié)議存在明文傳輸?shù)陌踩[患，但是部分網(wǎng)絡運營者并沒有采取相關的防范措施，如某政府及教育類網(wǎng)站，對用戶信息保護程度較低。為了規(guī)避類似的安全風險，需要網(wǎng)絡運營者加強安全防范系統(tǒng)的部署應用，也需要用戶能夠時刻保持警惕，盡量在不同網(wǎng)站使用不同密碼，以免某一網(wǎng)站賬號泄露引起連鎖反應。本文只針對HTTP協(xié)議傳輸敏感數(shù)據(jù)進行了研究，實驗對象的多樣性也有所欠缺，希望在下一步研究中能夠有所提高。