微博登录分析总结

最近运维部有人发现公司网站登录部分用户名和密码都是明文传输，领导一得知，这哪行，传输过程任一节点如果被人抓包分析，完全有可能存在盗号威胁。其实呢，这种几率很小，很多大网站像京东，人人网等都是类似明文传输，但是有时领导想法不一样，既然已知了，不解决心里总有点疙瘩。好了，言归正传,现讲新浪微博和腾讯微博的登录方式简单记录如下：
新浪微博:
1、
登录post请求提交前，先get 2个参数，servertime 和 nonce(随机生成但是只能使用一次)
get请求地址类似为：
http://login.sina.com.cn/sso/prelogin.php?entry=miniblog&callback=sinaSSOController.preloginCallBack&user=%22+username+%22&client=ssologin.js(v1.4.5)

2、用户名采用base64,密码采用rsa2，讲第一步获取的2个参数一起进行加密。（网上查了很多关于新浪登录部分资料，都说是采用三次sha1,现在新浪应该是变了，弃用sha1加密方式了）
代码如下：
e.servertime = a.servertime;
e.nonce = a.nonce;
e.pwencode = "rsa2";
e.rsakv = a.rsakv;
var f = new sinaSSOEncoder.RSAKey;
f.setPublic(a.rsaPubkey, "10001");
c = f.encrypt([a.servertime, a.nonce].join("\t") + "\n" + c)


3、post提交登录请求
post地址还是http://login.sina.com.cn/sso/login.php?client=ssologin.js(v1.4.5）
post参数为：（chrome工具查看）
entry:weibo
gateway:1
from:
savestate:7
useticket:1
pagerefer:
vsnf:1
su:d3FzdDg1MTAlNDBnbWFpbC5jb20=
service:miniblog
servertime:1364705675
nonce:9URUVH
pwencode:rsa2
rsakv:1330428213
sp:252440fd8be3125f36633998a82c52e0bf81d9e7420a3ffb58cb280a311432e5e92723b82180f30b5e18c038d0c2b0d0cbe97b345cdd8e1a66346d26204d9bb1337567d38b3e4968be80e52459e604f2e796f5051f6581a481278fd5d6ded254d57d6173977cd7ba81881e22c6f2df30c52c4cfcbb073e9cb4458d173338ea32
encoding:UTF-8
prelt:68
url:http://weibo.com/ajaxlogin.php?framelogin=1&callback=parent.sinaSSOController.feedBackUrlCallBack
returntype:META

二、腾讯微博
1、先从服务器获取参数
地址为：http://check.ptlogin2.qq.com/check
返回为一个js代码
如：ptui_checkVC('0','!GXC','\x00\x00\x00\x00\x1a\x51\xb8\xf0');
其中第二参数随即生成且只用一次（和新浪的nonce差不多）。
2、利用第一步的结果对密码加密。
加密算法采用三次sha1.代码类似如下：
function getEncryption(password, uin, vcode) {
var str1 = hexchar2bin(md5(password));
var str2 = md5(str1 + uin);
var str3 = md5(str2 + vcode.toUpperCase());
return str3
}
3、get方式提交登录请求。

综上新浪和腾讯，其实他们采用的原理大同小异，无非是先从服务器取随机数，
然后将随机和密码一起加密，再传给服务器。

另外贴出我参考的文章地址：
新浪：
http://www.douban.com/note/201767245/
http://cpszgy.iteye.com/blog/1151802
腾讯：
http://duoerbasilu.iteye.com/blog/1611180