最近遇到一个站，对登录接口抓包发现将密码进行了加密，登录接口抓包截图

通过分析登录接口的页面源码，发现是利用了RSA加密，而且还找到了公钥Publickey。

已将敏感信息打码处理，抱歉码打的有点严重，没办法

难道这样做这个登录接口是不是就安全了呢？既然这么容易就看到RSA公钥，咱们就写一个脚本实现这个功能呗

首先通过chrome的console接口打印出来publickey

人生苦短，我用Python

经过一番谷歌，发现Python的模块pycrypto可以完成这个任务，进行模块安装，安装很简单

pip install pycrypto

这里需要说明一下，在安装完模块以后，需要将模块的路径下(C:\Python27\Lib\site-packages)的“crypto”文件夹名字改为“Crypto”修改下（win7 X64环境），其他平台环境情况未知，如果不进行这个修改，后面的脚本执行会报错

然后就是愉快的利用publickey进行加密了，

代码

#!/usr/bin/python
#coding:utf-8
#pip install pycrypto
import base64
from Crypto.Cipher import PKCS1_v1_5 as Cipher_pkcs1_v1_5
from Crypto.PublicKey import RSA

publick_key = """-----BEGIN PUBLIC KEY-----
AWEF*************************8*****************8*****ADwERFIRUDJI
Ub***************************************************888*****68+
kk***********************************************************9AU
qi***********************CC
-----END PUBLIC KEY-----"""
pass_word = '1qaz1QAZ'
rsakey = RSA.importKey(publick_key)
cipher = Cipher_pkcs1_v1_5.new(rsakey)
cipher_text = base64.b64encode(cipher.encrypt(pass_word))
print cipher_text

这样就实现了将登陆接口的密码加密实现了，后面就是利用了，聪明如你，一定想到了，不说了。

 

并不是什么大的问题，对于登录接口，明文传输不安全，但是那种简单的加密也是不安全的