那些遇到过的问题

攻击者能否通过 HTTPS 嗅探 URL 中的数据?

Jam*_*add 18 security url https

如果连接是通过 HTTPS 建立的,那么 URL 中包含的数据是否可以被视为安全?例如,如果用户单击电子邮件中指向https://mysite.com?mysecretstring=1234的链接,攻击者是否有可能从 URL 中获取“mysecretstring”?

Jul*_*ien 26

整个 HTTP 请求(和响应)都经过加密,包括 URL。

但是是的,攻击者可以通过一种方式获取完整的 URL:通过 Referer 标头。如果有任何不通过 HTTPS 的外部文件(Javscript、CSS 等),则可以在 Referer 标头中嗅探完整的 URL。如果用户单击页面中指向 HTTP(无 SSL)页面的链接,则相同。

此外,DNS 请求未加密,因此攻击者可以知道用户正在访问 mysite.com。

小智 14

不,他们可以看到连接,即 mysite.com 但看不到 ?mysecretstring=1234 https 是服务器到服务器

  • 事实上,他们甚至看不到您连接的是哪个域名,而是看不到哪个 IP 地址。由于 SSL 证书只能在 1:1 的域名到 IP 地址关系上合理地工作,因此这很可能无关紧要。此外,如果攻击者可以嗅探您的 DNS 流量,则可能会发现这一点。GET 和 POST 参数与 HTTPS 流量一样安全:如果您是客户端并且服务器证书有效且不受损害,则数据是安全的,不会被第三方窃听。 (6认同)

归档时间:

查看次数:

14168 次

最近记录:

13 年,11 月 前
相关归档
是否可以在没有密码的情况下生成 RSA 密钥? 137
本地可以生成SSL证书,为什么还要购买? 59
Linux 加固 - Web 服务器 31
DNS 记录私人信息吗? 22
如何:禁用 Hyper-V Server 2008 上的复杂密码策略? 10
允许和限制远程 sql server 访问 5
如何在不受信任的客户端环境中保护 NFS 4
Linux 服务器上的 SNMP RW 3
有关安装 Microsoft Silverlight 插件的 IT 政策 2
Web 和 DB 服务器之间的防火墙 1
难疑归档
如何在 Amazon Linux 服务器上升级到 Java 1.8? 146
使用 S3 的 Amazon Cloudfront。拒绝访问 126
在硬盘驱动器上钻孔是否足以使其数据无法恢复? 99
如何从 Windows 网络中的 IP 地址确定主机名? 89
Unix“whoami”命令的 Windows 等价物是什么? 80
如何运行 VBoxManage.exe? 72
一个用户的多个公钥 66
如何重命名 MySQL 数据库? 61
如何管理我的 .ssh/known_hosts 文件 59
我们可以为一个 Name 设置多个 CNAMES 吗? 53