星期四, 一月 05, 2012

铁路12306网站疑明文密码

  经过注册用户并修改测试,笔者怀疑铁路客户服务中心12306网站也使用明文的方式保存用户密码,验证过程如下:

  在修改用户资料界面,点查看源代码,可以看到先前录入的“语音查询密码”内容,该密码从服务器端传输到客户端,说明该网站的服务器端存有用户密码。

  至于该网站服务器端的密码是否使用了类似AES的可逆型加密,我表示怀疑,一个连MD5都懒得用的网站,会去用AES吗?

没有评论: