南京市第二十九中学（高中部） 胡 越

1.引言

在当今社会，网络已经成为了我们生活中的必需品，从浏览新闻到网上购物，用户的个人信息在网络中出现的频率越来越高。随着2017年6月1日《网络安全法》的实施，很多网站要求用户进行实名认证，这使得网络中关于用户的数据越来越敏感。因此，网络安全问题的关注度也越来越高。

此外，《网络安全法》规定了网络运营者在网络安全方面的义务，其中《网络安全法》第二十一条规定：网络运营者应“采取防范计算机病毒和网络攻击，网络侵入等危害网络安全行为的技术支持。”在我们日常生活中面临着很多安全问题，但网络运营者是否采取相应的安全措施却是一个未知数。以最常见的网页访问场景为例，现有的HTTP协议存在明文传输的安全漏洞，虽已有安全系数较高的HTTPS协议，但有部分网站仍然使用HTTP协议进行敏感数据的传输，但这些运营者是否采取了相应的安全措施，却不得而知[1]。

本文将利用Wireshark软件针对HTTP协议数据包进行抓取分析，探究部分使用HTTP协议的网站是否存在信息泄漏问题。文章组织结构如下，第二章将对实验中所需的基础知识进行介绍，第三章将从不同场景研究分析HTTP协议数据包信息泄露的问题。

2.理论基础

HTTP协议即为超文本传输协议（Hypertext Transfer Protocol）的简称[2]，是应用层的协议，被广泛应用于全球信息服务系统。HTTP是一个客户端和服务器端请求和应答的标准。通过HTTP协议，可以使得信息传递和回复具有同一性，因此，当一个与服务器建立连接的设备向服务器发送请求后，服务器可以快速准确的做出响应。所以，一般将HTTP报文分为请求报文及应答报文，其中请求报文含有用户想服务器请求数据的地址以及所要提交的数据，此部分数据较为敏感。

HTTP协议规定的数据请求方法有GET、HEAD、POST、PUT、DELETE、TRACE、CONNECT等，其中GET是用来从服务器上获得数据的，而POST是用来向服务器传递数据的。常见的登录、注册场景就采用POST方法来提交数据。在POST方法下，提交的内容会在报文负载中，以明文形式存在，在GET方法下，提交的内容在报文头中的URI里[3,4]。本文后续的实验中就利用HTTP请求数据包的这些特点，针对POST，GET方法的数据包进行抓取分析。

3.实验结果及分析

由于HTTP协议在进行数据传输的过程中直接使用明文传输，因此，传输过程中用户信息极易被嗅探捕获，本文将通过对数据包的抓取实验，从登录和非登陆场景两方面来分析网络运营者针对HTTP协议明文传输的漏洞是否采取相应措施。

3.1 登录场景

图1所示为某税务局官网的登录界面，用户输入信息后即可进入该网站的举报栏。使用账号“test”及密码“123456”进行登录操作并利用Wireshark捕获数据包，并运用过滤器进行筛选，提取“Protocol”为“HTTP”的数据包，分析含有“POST”字符的数据包。由于用户在登录界面上提交信息时使用POST的方法传输报文，因此“Info”中的“POST/jzxx/relogin.do HTTP/1.1…”中就包含了用户的登录信息。实验结果如图2所示，在相关HTTP数据包的负载中出现了账号密码字段，其中“username”=“test”即为用户名，而“password”=“123456”作为密码却未经加密，直接采取明文的方式显示，如图2所示。

图1 某税务局官网登录界面

图2 某税务局官网登录时数据包截获图

此外，某中学网站存在类似的账号密码泄漏问题。使用Wireshark软件针对登录场景进行抓包分析，实验结果如图3所示。不难发现该网站登录场景的HTTP数据包负载中也存在明文的账号密码字段。其中，密码字段“txtpassword=1234567”完全是以明文的形式呈现的。

图3 某高校教育系统登录时的数据包截获图

由此可见，账号密码的泄漏就发生在我们身边，类似的明文传输造成账号密码泄漏的例子还有很多，这些网站在使用HTTP协议的基础上并没有采取有效的防范措施，这对人们的生活造成了一定的危害。

首先，用户在这些网站的账号密码泄漏，用户的个人隐私无法得到安全保障。更严重的是，现实生活中很多人在不同的网站上使用相同的账号密码来方便记忆，即使存在漏洞的网站并不包含任何有价值的个人信息，也存在关联网站账号泄露的可能。比如：用户在支付宝等金融支付类软件上使用了与问题网站相同的密码，那么该密码泄漏的后果将不堪设想。

此外，像图1所示的举报系统，如果无法确保举报者信息的安全，那么也是不利于互相监督的社会风气的。再者，很多时候我们选择使用手机号码作为登录账号，即使只泄漏账号，平时接到的诈骗或推销信息也会随之增多，这会给我们的生活带来不必要的麻烦与搔扰。

3.2 非登录场景

除了登录场景的账号密码会被泄漏以外，其他非登录场景同样存在信息泄露的问题。百度地图就存在位置信息泄露的问题，虽然百度大部分功能都采用了HTTPS协议，但百度地图依然使用HTTP协议运行。打开百度地图，登录百度账号后，点开编辑家庭地址一栏，如图4所示：

图4 百度地图常用地址设置页面

使用Wireshark捕获数据包（如图5，6所示），分析含有“POST”字符的数据包，就出现了“key”=“home”，“name”=“南京市......”等字段，其内容与设定的家庭地址一致，如图5所示。

图5 百度地图编辑家庭住址时的数据包截获图

图6 百度地图搜索地址时的数据包截获图

此外，百度地图的搜索记录同样存在泄露的问题。有图6可知，在百度地图搜索栏输入目的地，使用Wireshark捕获数据包，即可看到目的地名称。用户位置信息的泄漏，不法分子可以详细了解用户的住处，工作单位，学校以及用户平时去处的偏好。如果广告商获取了这些信息，他们即可根据用户信息发放宣传手册之类的杂志。所以，类似于家庭地址这样的信息敏感度是很高的信息一旦泄漏，会给用户带来了很大的安全风险。

4.结论

本文通过对不同场景的HTTP数据包抓取结果的分析发现，虽然HTTP协议存在明文传输的安全隐患，但是部分网络运营者并没有采取相关的防范措施，如某政府及教育类网站，对用户信息保护程度较低。为了规避类似的安全风险，需要网络运营者加强安全防范系统的部署应用，也需要用户能够时刻保持警惕，尽量在不同网站使用不同密码，以免某一网站账号泄露引起连锁反应。本文只针对HTTP协议传输敏感数据进行了研究，实验对象的多样性也有所欠缺，希望在下一步研究中能够有所提高。