URL PHP基本身份验证这是安全问题吗?
比如说,我确实有这样一个URL: 而且我只和JohnDoe共享这个URL,所以如果他调用这个URL,他会得到那个特定的内容 我现在的问题是关于这样一个链接的安全站点: 让我们想象一下,一个黑客知道他可以通过上面提到的URL访问特定内容。 他只需要知道现有的用户名和密码 那么这个黑客要找出用户名和密码有多难呢 这种情况下的密码是什么? 有没有可以扫描网站的工具http://mywebsite.com:8080/get.php? 有效的用户名和密码? 请注意,我知道: 调用此URL的任何人都可以访问此特定内容。但这不是这个问题的重点。我对这种URL的安全站点更感兴趣。 此URL不是HTTPS,因此中间人攻击也是可能的。但这只对访问的URL有效,对其他创建的URL无效。URL PHP基本身份验证这是安全问题吗?,php,authentication,url,Php,Authentication,Url,比如说,我确实有这样一个URL: 而且我只和JohnDoe共享这个URL,所以如果他调用这个URL,他会得到那个特定的内容 我现在的问题是关于这样一个链接的安全站点: 让我们想象一下,一个黑客知道他可以通过上面提到的URL访问特定内容。 他只需要知道现有的用户名和密码 那么这个黑客要找出用户名和密码有多难呢 这种情况下的密码是什么? 有没有可以扫描网站的工具http://mywebsite.com:8080/get.php? 有效的用户名和密码? 请注意,我知道: 调用此URL的任何人都可以访问
这很糟糕。您至少应该有SSL加密的通信量,因为使用当前的方法,嗅探http通信量就足以获取您的凭据。有一些工具可以做到这一点——不需要任何知识
不,并没有简单的方法来猜测给定的url是否需要登录和传递参数,但您可以始终在盲中尝试,看看会发生什么。然后,一旦知道这种类型的args会起作用,就只需要获得正确的凭据——有一些工具可以轻松地对该url进行暴力攻击。我知道。贴得太快了。Edited他们至少知道什么以暴力攻击开始-登录名?暴力意味着他们什么都不知道,因此可能会向你大量请求尝试登录和传递流行词。有现成的字典可供使用。当然,登录hdhxuksikjwjs+sgehsh并通过7+$+2/$$3i比john/sesame好,但统计数据显示后者更可能是这样。