记一次网站登录流程分析「在线学习答题的网站」

1.选择目标站点：http://www.scjxjypx.com/
2.进行登录，并抓取数据包
火狐浏览器按F12然后输入账号密码，点登录，可以看到抓了很多数据包

可以看到，第一条请求的请求文件名中含有login的字样（查字典可知大意是：登录有效检查），其次该请求还是post方式，so。。。。。他最有嫌疑是登录请求的数据包，我们点看看看
3.观察提交的参数

嗯。。。。。
差不了了，这就是登录请求
4.观察此次请求的响应

嗯。。。。。
登录成功返回的状态是status：success，我们也确实登录成功了，再次验证这就是登录请求
5.再观察此次请求的cookie

嗯。。。。
我们发现此次请求有些响应的cookie，这好办，但是怎么还附带了请求cookie？这是哪里来的？
6.问题来了，观察登录过程，我们发现两个问题：①密码是怎么加密的？②请求的cookie是什么时候被设置的（因为我们发现提交的参数中含有cookie中的字符，这一定是在登录前就被设置到本地的，可是，是哪里来的呢。。。）
7.先解决登录密码加密的问题吧
我们退出登录，然后审查元素，看这个登录按钮被点击之后都做了什么

开启审查元素功能（就他，就这个大箭头指的小箭头）

选中登录按钮，点击

我们发现这个登录按钮有些事件，点开看看

嗯。。。。。
就一个，比预期少，嘿嘿~~

点击箭头指的那个会拐弯的箭头，我们看看具体代码
完了说了，先点开前边的三角号，简单看下代码

嗯。。。。
就这个了，看到前边的蓝色正方向和三角形组合奇怪按钮没？（点前边的行号就能在这行下断点了，你不知道什么是断点？自己百度去{:1_932:}）
下好断点后，我们去点登录按钮

看到没？我们已经遏制住登录执行的流程了，接下来按F11（单步运行），找关键代码（啥是关键代码？等下，我给你看）。。。。。
流程走到这里，发现有个检查用户的函数（嗯。。。），F11跟进去

如果你接触过css你就会知道，这是在获取你输入的账号密码的，并且有个很关键的字眼MD5，再看他处理过的账号密码，有没有很熟悉？

再往下看。。。

嗯。。。。
ajax？这不就是JS中的异步请求吗？
url: "/loginValid?t="+new Date().getTime(), ？ 这不就是我们刚刚分析的登录请求的url吗？
这样的话。。。。。
我明白了，密码确实是用MD5进行加密的，并且还需要转成大写字母
再回头看登录请求的数据：

就差那个什么ID还不知道了，分析暂时告一段落，要想知晓后事如何，且听下回分析