Kẻ tấn công có thể đánh hơi dữ liệu trong một URL qua HTTPS không?

19

Dữ liệu trong URL có thể được coi là an toàn nếu kết nối được thực hiện qua HTTPS không? Ví dụ: nếu người dùng nhấp vào liên kết trong email trỏ đến https://mysite.com?mysecretopes=1234 thì kẻ tấn công có thể lấy "mysecretopes" từ URL không?

security https url

— James Cadd
nguồn

27

Toàn bộ yêu cầu HTTP (và phản hồi) được mã hóa, bao gồm cả URL.

Nhưng vâng, có một cách mà kẻ tấn công có thể lấy URL đầy đủ: thông qua tiêu đề Người giới thiệu. Nếu có bất kỳ tệp bên ngoài nào (Javscript, CSS, v.v.) không vượt quá HTTPS, URL đầy đủ có thể được đánh hơi trong tiêu đề Người giới thiệu. Tương tự nếu người dùng nhấp vào một liên kết trong trang dẫn đến trang HTTP (không có SSL).

Ngoài ra, các yêu cầu DNS không được mã hóa, vì vậy kẻ tấn công có thể biết người dùng sẽ truy cập mysite.com.

— Julien
nguồn

Khi bạn nói "URL đầy đủ", có bao gồm các tham số (ví dụ: mysecretopes = 1234) không?

— sampablokuper

Trên tiêu đề Người giới thiệu, nếu có thể thấy các tham số trong URL

— chmeee

1

vì vậy, tải không có hình ảnh bên ngoài, css, js. sử dụng / lưu trữ chuỗi bí mật và chuyển hướng nội bộ để thoát khỏi chuỗi bí mật. sau đó có thể sử dụng các url bên ngoài.

— Neil McGuigan

14

Không, họ có thể thấy kết nối tức là mysite.com nhưng không phải là? Mysecretopes = 1234, https là máy chủ đến máy chủ

— Chris
nguồn

6

Trong thực tế, họ thậm chí không thể nhìn thấy tên miền bạn đang kết nối nhưng địa chỉ IP nào. Vì chứng chỉ SSL chỉ hoạt động hợp lý trên mối quan hệ tên miền với địa chỉ IP 1: 1, nên điều này rất có thể không liên quan. Ngoài ra nếu kẻ tấn công có thể đánh hơi lưu lượng DNS của bạn, điều này có thể bị tiết lộ. Các tham số GET và POST an toàn như lưu lượng HTTPS: Nếu bạn là máy khách và chứng chỉ máy chủ hợp lệ không thỏa hiệp, dữ liệu sẽ được bảo mật chống lại việc nghe lén của bên thứ ba.

— Paul

0

Họ sẽ cần phải có khóa mã hóa. Về mặt lý thuyết điều này là không thể nhưng bất kỳ cuộc tấn công tốt nào cũng có thể. Đây là toàn bộ mục đích của SSL để mã hóa tất cả dữ liệu được gửi đến và từ máy chủ để tránh bị đánh hơi.

— Chris
nguồn

0

Giữ các nhật ký web của bạn an toàn hoặc thậm chí không viết chúng. Nếu bạn nhận được khai thác từ xa nơi có thể đọc nhật ký, mọi dữ liệu URL sẽ hiển thị trong nhật ký.

Đăng dữ liệu không có trong nhật ký.

— Ryaner

tất cả điều này phụ thuộc rất nhiều vào cấu hình =)

— spainediver

-1

Chỉ khi họ có thể đánh hơi được xác thực https thông qua một số loại giả mạo

— Jimsmithkka
nguồn

Bạn có nghĩa là một cuộc tấn công giữa chừng? Điều này còn hơn cả việc đánh hơi, kẻ tấn công cần mạo danh máy chủ.

— Julien

— Vâng MiM