ผู้โจมตีสามารถดมกลิ่นข้อมูลใน URL ผ่าน HTTPS ได้หรือไม่


19

ข้อมูลที่รวมอยู่ใน URL นั้นจะปลอดภัยหรือไม่หากการเชื่อมต่อผ่าน HTTPS ตัวอย่างเช่นหากผู้ใช้คลิกลิงก์ในอีเมลที่ชี้ไปที่https://mysite.com?mysecretstring=1234เป็นไปได้หรือไม่ที่ผู้โจมตีจะคว้า "mysecretstring" จาก URL?

คำตอบ:


27

คำขอ HTTP ทั้งหมด (และการตอบสนอง) ถูกเข้ารหัสรวมถึง URL

แต่ใช่มีวิธีที่ผู้โจมตีสามารถคว้า URL เต็ม: ผ่านส่วนหัวของผู้อ้างอิง หากมีไฟล์ภายนอกใด ๆ (Javscript, CSS, ฯลฯ ) ซึ่งไม่เกิน HTTPS URL เต็มอาจถูกดมกลิ่นในส่วนหัวของผู้อ้างอิง เช่นเดียวกันหากผู้ใช้คลิกที่ลิงค์ในหน้าเว็บที่นำไปสู่หน้า HTTP (ไม่มี SSL)

นอกจากนี้คำขอ DNS จะไม่เข้ารหัสดังนั้นผู้โจมตีสามารถทราบว่าผู้ใช้กำลังไปที่ mysite.com


เมื่อคุณพูดว่า "URL แบบเต็ม" นั่นรวมถึงพารามิเตอร์ (เช่น mysecretstring = 1234) หรือไม่
sampablokuper

ใน Referer ส่วนหัวถ้าพารามิเตอร์ใน URL จะสามารถมองเห็น
chmeee

1
ดังนั้นไม่โหลดรูปภาพภายนอก css, js ใช้ / เก็บสตริงลับและเปลี่ยนเส้นทางภายในเพื่อกำจัดสตริงลับ หลังจากนั้นสามารถใช้ URL ภายนอก
Neil McGuigan

14

ไม่พวกเขาสามารถเห็นการเชื่อมต่อเช่น mysite.com แต่ไม่ใช่? mysecretstring = 1234 https คือเซิร์ฟเวอร์ไปยังเซิร์ฟเวอร์


6
ในความเป็นจริงพวกเขาไม่สามารถแม้แต่จะเห็นชื่อโดเมนที่คุณกำลังเชื่อมต่อ แต่ที่อยู่ IP เนื่องจากใบรับรอง SSL จะทำงานได้ดีกับความสัมพันธ์ระหว่างชื่อโดเมนกับที่อยู่ IP 1: 1 เท่านั้นจึงไม่น่าเป็นไปได้ นอกจากนี้หากผู้โจมตีสามารถดมกลิ่นการรับส่งข้อมูล DNS ของคุณสิ่งนี้อาจถูกเปิดเผย พารามิเตอร์ GET และ POST มีความปลอดภัยเท่ากับการรับส่งข้อมูล HTTPS: หากคุณเป็นลูกค้าและใบรับรองเซิร์ฟเวอร์นั้นถูกต้องและไม่เป็นอันตรายข้อมูลจะปลอดภัยต่อการแอบฟังโดยบุคคลที่สาม
พอล

0

พวกเขาจะต้องมีรหัสการเข้ารหัส ตามหลักวิชานี้เป็นไปไม่ได้ แต่อาจมีการโจมตีที่ดีก็ได้ นี่คือจุดประสงค์ทั้งหมดของ SSL ในการเข้ารหัสข้อมูลทั้งหมดที่ส่งไปยังและจากเซิร์ฟเวอร์เพื่อป้องกันไม่ให้สามารถสูดดม


0

รักษาเว็บบล็อกของคุณให้ปลอดภัยหรือไม่แม้แต่เขียน หากคุณได้รับประโยชน์จากระยะไกลซึ่งสามารถอ่านบันทึกข้อมูล URL ใด ๆ จะปรากฏในบันทึก


ข้อมูลการโพสต์ไม่ได้อยู่ในบันทึก
Ryaner

ทั้งหมดนี้ขึ้นอยู่กับการกำหนดค่ามาก =)
spacediver

-1

เฉพาะในกรณีที่พวกเขาสามารถสูดดม https auth ผ่านการปลอมแปลงบางประเภท


คุณหมายถึงการโจมตีแบบคนกลางหรือไม่? นี่เป็นมากกว่าการดมกลิ่นผู้โจมตีต้องเลียนแบบเซิร์ฟเวอร์
Julien

MiM เป็นอย่างดีสำหรับการจับมือ แต่หลังจากนั้นมันก็แค่ดมกลิ่นเครื่องมือเฉพาะคือหนูแฮมสเตอร์และคุ้ยเขี่ยที่ฉันเห็นสาธิต
Jimsmithkka
โดยการใช้ไซต์ของเรา หมายความว่าคุณได้อ่านและทำความเข้าใจนโยบายคุกกี้และนโยบายความเป็นส่วนตัวของเราแล้ว
Licensed under cc by-sa 3.0 with attribution required.