一款用于爆破前端加密登陆的 BurpSuite 插件

好家伙，我这拼命的加密，你那拼命的爆破！

@a570295535 哈哈哈，魔高一尺道高一丈。

一个人得有多宽广的胸怀和多烂的技术以及多简单的思维才敢把加密用到前端登录

@kisshere 看起来淘宝 京东啥的都用了

@warcraft1236 我好像说错了........

@warcraft1236 没错啊，确实是用了

hutool 就有集成国密算法

@abeholder 好的我研究一下，感谢

@whwlsfb 我也挺好奇，web 页面为啥要用加密，反正都能看到，加密不加密感觉没什么意义，也就能防止一下技术超级烂的初学者啥的

cool

楼上不知道为什么要加密的，其实这是个成本问题

@kisshere #3 你应该没有基本的加密认知。
@warcraft1236 #9 前端加密的意义是防中间人，不是防本人。

@lawler 正解

@warcraft1236 你要不去破解一下淘宝的登录试试？

@lawler 前端能植入 js 代码，为什么能防到中间人? 前端除了 https 能防中间人以外，单纯的前端加密是无法防止中间人的

好奇前端加密登录是个啥技术

@nnnToTnnn 中间人指的是如果处于不安全的网络环境中，直接传输明文密码可以被直接截取，而且整个过程完全可以自动化进行窃取。但是如果网站开发者使用了类似 RSA 等非对称加密算法对密码进行加密，如果窃取者没有私钥信息是无法解密的，也就保证了传输过程中的安全性。

@nnnToTnnn 另外如果系统的根证书也是处于不安全的情况下，例如像某些企业为了流量监控会统一为员工的电脑安装根证书，这样就算是 https 也无法保证不被中间人窃取。

楼主这个插件爱了

实际上我参与的项目中，对称加密的项目还挺多的，很多 JS 文件还没有混淆，楼主这个可谓是省事了

题外话，明文传输、Base64 编码当加密的情况也不少，着实让人无语

@whwlsfb https 是保证完全可以避免中间人攻击的， 企业在电脑上安装了根证书，这并不是中间人攻击，而是用户电脑上已经信任了此证书。

-----------------------------------

```
中间人指的是如果处于不安全的网络环境中，直接传输明文密码可以被直接截取，而且整个过程完全可以自动化进行窃取。但是如果网站开发者使用了类似 RSA 等非对称加密算法对密码进行加密，如果窃取者没有私钥信息是无法解密的，也就保证了传输过程中的安全性。
```

如果网站使用了 RSA 等非对称加密技术在网页中，请问中间人既然可以注入 JS 代码修改你的网页，为何不能直接扫描你的代码？ 拿到你的密钥？你的请求对中间人而言完全就是透明的。


在网页中使用 JS 来进行 RSA 加密保护自己。无非用窗帘当作门了，别人一拉就开了，完全没有必要，而且浪费了浏览器的算力。

你可以了解一下 HTTPS 协议，HTTPS 协议不仅仅只有 RSA 和 AES 进行互换密钥，还有证书认证 HTST 等等。