攻击者可以通过HTTPS嗅探URL中的数据吗?

Answers:

27

整个HTTP请求(和响应)都已加密,包括URL。

但是,是的,攻击者可以采用一种方式来获取完整的URL:通过Referer标头。如果有任何外部文件(Javscript,CSS等)不在HTTPS之上,则可以在Referer标头中嗅探完整URL。如果用户单击页面中指向HTTP(无SSL)页面的链接,则相同。

另外,DNS请求未加密,因此攻击者可能知道用户将访问mysite.com。

朱利安
source
当您说“完整URL”时,其中是否包含参数(例如mysecretstring = 1234)?
sampablokuper,2010年
在Referer标头中,如果URL中包含参数,则可以看到
chmeee 2011年
1
因此,不加载任何外部图像,CSS,JS。使用/存储秘密字符串,并在内部重定向以摆脱秘密字符串。之后可以使用外部网址。
尼尔·麦圭根
14

不,他们可以看到连接,即mysite.com,但看不到https是服务器到服务器的?mysecretstring = 1234

克里斯
source
6
实际上,他们甚至看不到您要连接的域名,而是哪个IP地址。由于SSL证书仅在1:1的域名与IP地址的关系上合理地起作用,所以这很可能是无关紧要的。另外,如果攻击者可以嗅探您的DNS流量,则可能会被发现。GET和POST参数与HTTPS流量一样安全:如果您是客户端,并且服务器证书有效且不受损害,则数据是安全的,不会被第三方窃听。
保罗
0

他们将需要具有加密密钥。从理论上讲这是不可能的,但是任何好的攻击都可以。SSL的全部目的是对发送到服务器和从服务器发送的所有数据进行加密,以防止嗅探。

克里斯
source
0

确保您的博客安全,甚至不要编写它们。如果您获得了可以读取日志的远程攻击,则所有URL数据都将在日志中可见。

发布数据不在日志中。
Ryaner
所有这些都取决于配置=)
spacediver
-1

仅当他们能够通过某种欺骗来嗅探https身份验证时

吉姆史密斯卡
source
您是说中间人攻击吗?这不仅仅是嗅探,攻击者还需要模拟服务器。
朱利安
它的MiM用于握手,但是在嗅探之后,我看到的特定工具是仓鼠和雪貂
Jimsmithkka 2010年
By using our site, you acknowledge that you have read and understand our Cookie Policy and Privacy Policy.
Licensed under cc by-sa 3.0 with attribution required.