那些遇到过的问题

是否可以捕获到远程 Web 服务器的流量

ole*_*sii 1 networking security remote password-protected sniffing

我注意到我的用户名和密码在 HTTP POST 请求中以纯文本形式发送到远程服务器。这是来自 Wireshark 的嗅探包装

POST /***URL*** HTTP/1.1
Host: ***DNS NAME***
Content-Length: 463
site2pstoretoken=***TOKEN***&ssousername=***MY USER NAME***&password=***MY PASSWORD***
Run Code Online (Sandbox Code Playgroud)

本网站不使用 TSL 并暴露于外部 Internet 网络。

Q1:是否可以嗅探到该远程服务器的传入流量(并获取所有密码)?

Q2:我认为这是一个安全漏洞,我错了吗?

vcs*_*nes 5

A1:中间人攻击绝对是获取此信息的好方法(假设有人可以访问网络中的路由器/交换机)。

A2:是的,非常如此。我会尽快在 HTTPS 上运行。

归档时间:

查看次数:

291 次

最近记录:

14 年,3 月 前
相关归档
如何在没有 telnet 的情况下测试连接? 25
“传入”和“传出”流量是什么意思? 24
为什么 CAT 等级不适用于开关? 12
“net use”命令后驱动器未显示在文件资源管理器中 10
如何获得独特的 IP 地址? 9
如何禁用 SSHD 中特定用户的密码验证 7
是否有连接到无线网络并向客户端提供以太网端口的设备? 5
UDP 如何跟踪连接? 4
黑客尝试 - 我的服务器最近进行了一次黑客攻击。我有攻击者的IP地址 3
使用主动 FTP 模式代替被动模式的风险 1
难疑归档
OpenSSH:internal-sftp 和 sftp-server 之间的区别 115
为什么 sudo 命令需要很长时间才能执行? 108
创建子域需要什么类型的 DNS 记录? 98
如何防止 apache 为 .git 目录提供服务? 95
如何让Apache2重定向到子目录 73
如何在linux中将两个命名管道连接到单个输入流中 70
如何获取本地 Windows 服务器上的共享目录列表? 69
如何在 ubuntu 上重启 rsyslog 守护进程 61
有没有办法将输出重定向到文件而不在 unix/linux 上缓冲? 59
Xen PV、Xen KVM 和 HVM 的区别? 55