從《網絡安全法》看HTTP協議中的明文傳輸

南京市第二十九中學（高中部） 胡 越

1.引言

在當今社會，網絡已經成為了我們生活中的必需品，從瀏覽新聞到網上購物，用戶的個人信息在網絡中出現的頻率越來越高。隨著2017年6月1日《網絡安全法》的實施，很多網站要求用戶進行實名認證，這使得網絡中關于用戶的數據越來越敏感。因此，網絡安全問題的關注度也越來越高。

此外，《網絡安全法》規定了網絡運營者在網絡安全方面的義務，其中《網絡安全法》第二十一條規定：網絡運營者應“采取防范計算機病毒和網絡攻擊，網絡侵入等危害網絡安全行為的技術支持。”在我們日常生活中面臨著很多安全問題，但網絡運營者是否采取相應的安全措施卻是一個未知數。以最常見的網頁訪問場景為例，現有的HTTP協議存在明文傳輸的安全漏洞，雖已有安全系數較高的HTTPS協議，但有部分網站仍然使用HTTP協議進行敏感數據的傳輸，但這些運營者是否采取了相應的安全措施，卻不得而知[1]。

本文將利用Wireshark軟件針對HTTP協議數據包進行抓取分析，探究部分使用HTTP協議的網站是否存在信息泄漏問題。文章組織結構如下，第二章將對實驗中所需的基礎知識進行介紹，第三章將從不同場景研究分析HTTP協議數據包信息泄露的問題。

2.理論基礎

HTTP協議即為超文本傳輸協議（Hypertext Transfer Protocol）的簡稱[2]，是應用層的協議，被廣泛應用于全球信息服務系統。HTTP是一個客戶端和服務器端請求和應答的標準。通過HTTP協議，可以使得信息傳遞和回復具有同一性，因此，當一個與服務器建立連接的設備向服務器發送請求后，服務器可以快速準確的做出響應。所以，一般將HTTP報文分為請求報文及應答報文，其中請求報文含有用戶想服務器請求數據的地址以及所要提交的數據，此部分數據較為敏感。

HTTP協議規定的數據請求方法有GET、HEAD、POST、PUT、DELETE、TRACE、CONNECT等，其中GET是用來從服務器上獲得數據的，而POST是用來向服務器傳遞數據的。常見的登錄、注冊場景就采用POST方法來提交數據。在POST方法下，提交的內容會在報文負載中，以明文形式存在，在GET方法下，提交的內容在報文頭中的URI里[3,4]。本文后續的實驗中就利用HTTP請求數據包的這些特點，針對POST，GET方法的數據包進行抓取分析。

3.實驗結果及分析

由于HTTP協議在進行數據傳輸的過程中直接使用明文傳輸，因此，傳輸過程中用戶信息極易被嗅探捕獲，本文將通過對數據包的抓取實驗，從登錄和非登陸場景兩方面來分析網絡運營者針對HTTP協議明文傳輸的漏洞是否采取相應措施。

3.1 登錄場景

圖1所示為某稅務局官網的登錄界面，用戶輸入信息后即可進入該網站的舉報欄。使用賬號“test”及密碼“123456”進行登錄操作并利用Wireshark捕獲數據包，并運用過濾器進行篩選，提取“Protocol”為“HTTP”的數據包，分析含有“POST”字符的數據包。由于用戶在登錄界面上提交信息時使用POST的方法傳輸報文，因此“Info”中的“POST/jzxx/relogin.do HTTP/1.1…”中就包含了用戶的登錄信息。實驗結果如圖2所示，在相關HTTP數據包的負載中出現了賬號密碼字段，其中“username”=“test”即為用戶名，而“password”=“123456”作為密碼卻未經加密，直接采取明文的方式顯示，如圖2所示。

圖1 某稅務局官網登錄界面

圖2 某稅務局官網登錄時數據包截獲圖

此外，某中學網站存在類似的賬號密碼泄漏問題。使用Wireshark軟件針對登錄場景進行抓包分析，實驗結果如圖3所示。不難發現該網站登錄場景的HTTP數據包負載中也存在明文的賬號密碼字段。其中，密碼字段“txtpassword=1234567”完全是以明文的形式呈現的。

圖3 某高校教育系統登錄時的數據包截獲圖

由此可見，賬號密碼的泄漏就發生在我們身邊，類似的明文傳輸造成賬號密碼泄漏的例子還有很多，這些網站在使用HTTP協議的基礎上并沒有采取有效的防范措施，這對人們的生活造成了一定的危害。

首先，用戶在這些網站的賬號密碼泄漏，用戶的個人隱私無法得到安全保障。更嚴重的是，現實生活中很多人在不同的網站上使用相同的賬號密碼來方便記憶，即使存在漏洞的網站并不包含任何有價值的個人信息，也存在關聯網站賬號泄露的可能。比如：用戶在支付寶等金融支付類軟件上使用了與問題網站相同的密碼，那么該密碼泄漏的后果將不堪設想。

此外，像圖1所示的舉報系統，如果無法確保舉報者信息的安全，那么也是不利于互相監督的社會風氣的。再者，很多時候我們選擇使用手機號碼作為登錄賬號，即使只泄漏賬號，平時接到的詐騙或推銷信息也會隨之增多，這會給我們的生活帶來不必要的麻煩與搔擾。

3.2 非登錄場景

除了登錄場景的賬號密碼會被泄漏以外，其他非登錄場景同樣存在信息泄露的問題。百度地圖就存在位置信息泄露的問題，雖然百度大部分功能都采用了HTTPS協議，但百度地圖依然使用HTTP協議運行。打開百度地圖，登錄百度賬號后，點開編輯家庭地址一欄，如圖4所示：

圖4 百度地圖常用地址設置頁面

使用Wireshark捕獲數據包（如圖5，6所示），分析含有“POST”字符的數據包，就出現了“key”=“home”，“name”=“南京市......”等字段，其內容與設定的家庭地址一致，如圖5所示。

圖5 百度地圖編輯家庭住址時的數據包截獲圖

圖6 百度地圖搜索地址時的數據包截獲圖

此外，百度地圖的搜索記錄同樣存在泄露的問題。有圖6可知，在百度地圖搜索欄輸入目的地，使用Wireshark捕獲數據包，即可看到目的地名稱。用戶位置信息的泄漏，不法分子可以詳細了解用戶的住處，工作單位，學校以及用戶平時去處的偏好。如果廣告商獲取了這些信息，他們即可根據用戶信息發放宣傳手冊之類的雜志。所以，類似于家庭地址這樣的信息敏感度是很高的信息一旦泄漏，會給用戶帶來了很大的安全風險。

4.結論

本文通過對不同場景的HTTP數據包抓取結果的分析發現，雖然HTTP協議存在明文傳輸的安全隱患，但是部分網絡運營者并沒有采取相關的防范措施，如某政府及教育類網站，對用戶信息保護程度較低。為了規避類似的安全風險，需要網絡運營者加強安全防范系統的部署應用，也需要用戶能夠時刻保持警惕，盡量在不同網站使用不同密碼，以免某一網站賬號泄露引起連鎖反應。本文只針對HTTP協議傳輸敏感數據進行了研究，實驗對象的多樣性也有所欠缺，希望在下一步研究中能夠有所提高。