你的浏览器禁用了JavaScript, 请开启后刷新浏览器获得更好的体验!
输入关键字进行搜索
搜索:
没有找到相关结果
白米Ⅲ级
赞同来自:
既然说 HTTP 是明文传输,为什么没听说哪个著名的网站因为采用 http 协议而暴露了用户的密码?
比如说一个很厉害的黑客,黑了很多计算机,并且监听这些计算机发出的 http 请求,那岂不是这些计算机的用户大部分网站的账户信息都会被这个黑客掌握?
苏莉安 白米Ⅱ级
主持人 陈伟鸿:黑客WIFI现在实时搜出了各位手机中的电子邮箱账号,我们在这些邮箱里面随机选一个,看看这是哪一位现场观众的?请自己认领一下。 主持人 谢颖颖:这是你的邮箱号吗? 观众:是我的邮箱。 主持人 谢颖颖:你刚才有没有用手机接收邮件了吗? 观众:没有。 主持人 谢颖颖:你的邮箱密码我们也能够知道,要不要看一下,证实一下,为了保护他的隐私,我们打上星号,我们把第四位和倒数第三位用星号挡住了,我告诉你,今天回去以后一定把登陆密码给改了。 主持人 陈伟鸿:确实在移动互联网的今天,很多人为了求方便,都在手机上收发邮件,其实只要你的手机和邮箱是连接的,手机每隔几分钟就会自动登陆一下邮箱,检查是否有新的邮件,这个过程就会被黑客捕获到,他们就可以截取到你的邮箱号码和邮箱密码。
为什么没听说
pig pig 白米Ⅲ级
匿名用户 白米Ⅲ级
要回复问题请先登录或注册
20 个回复
白米Ⅲ级
赞同来自:
是。
苏莉安 白米Ⅱ级
赞同来自:
比如很多地方电信运营商就擅自给用户的网页插入浮动窗口广告,甚至影响正常浏览,不知情的用户还骂网站。其实这就是HTTP的明文特性导致的天然漏洞,对HTTPS网站则束手无策。因为后者只有用户和服务器能看到真实请求数据,对所有中间环节都加了密,自然也就无从篡改。
是不是好多人有微博账号莫名关注或点赞某些垃圾僵尸粉、营销号或者取关好友?在微博没有全站HTTPS化之前这种现象普遍存在。有人说是官方恶意给大号涨粉(官方肯定不承认,底下的人会不会收钱办事很难说),但各种证据表明绝大多数都是中间有人动了手脚,比如前面说的与运营商合作的营销公司。他们可以通过截获请求盗取并伪造你的身份信息来关注一票僵尸号或给某些营销微博点赞。方法也简单,把你本次成功访问微博的cookie存下来,直接用这个cookie发送关注别人的请求就行。
这种情况根本无需窃取你密码,也就无所谓密码大量泄露了。
对黑客和黑产从业者来说,除非你是个有影响力的大V或高价值账户才值得完全盗走。否则对千千万万普通用户而言,在无感知的情况下借用你的身份做一些事才是最有用的。
而那个「很厉害的黑客,黑了很多计算机」,其实根本用不到HTTP的明文特性就能窃取你的大量信息,因为人家黑的不是传输阶段,而是从起始阶段就下手了。无论你在中间怎么加密,在自己电脑总要有明文吧。
另外,那些著名的「某某网站几百几千万用户数据泄露」其实只是冰山一角,绝大部分泄露都不会被外界得知。有的跟网站私下交易,有的窃取完数据堵上漏洞就不管了,有的说不定站方从头到尾都没察觉到这件事。更何况网上流传的很多用户账号密码包根本就是在黑产圈内流传了几年连剩余价值都榨干了才出于炫耀或引导舆论的目的被扔出来的……
白米Ⅲ级
赞同来自:
通过发送带有附件的邮件,附件是木马程序,用户只要双击打开,一个邪恶的种子就埋下了,这个木马程序可以收集用户敏感信息,源源不断发送出去,这个木马还可以接受远程控制,随时可以发动DDoS攻击。
http协议层面也有自己的加密实现,对于登录界面完全可以实现加密,但http协议是无状态的,为了判断客户端是否是登录状态,通常登录之后会为用户生成cookie,这个cookie就好比古代的令牌,客户端出示cookie服务器就知道应该呈现登录界面,而cookie是明文传输,只要能捕获到流量,就能获得cookie,获得cookie就可以登录账户。
白米Ⅲ级
赞同来自:
白米Ⅲ级
赞同来自:
白米Ⅲ级
赞同来自:
一般的做法是搭个开放WiFi,随便装个tcpdump之类的工具就可以了。
然后坐等别人连上来。(先前有一阵子校内有些网没有https的时候,我轻松就抓出了自己登录校园账号时候的明文密码,当时就有拿起自己路由器去教学楼的冲动)
讲道理如果都能黑到别人的电脑上了,那是真的很强了,可以放全局键盘钩子。
高票的XSS有些问题吧,一般cookie都是http only。js访问不到。而cookie是匹配域名的,私搭服务器也做不到,还不如用上面的开放WiFi方案。防范XSS是前端的基本素质,而且用了正常点的前端框架的都不会有这个问题。
这些中间人盗用cookie、盗取明文密码都很容易地可以用+1s解决。
另一种利用cookie搞事情的方式是钓鱼网站然后诱导用户搞个跨域请求。俗称CSRF攻击。防范也很简单,用同源策略禁掉跨域请求,同时认证信息不存在cookie里,而用js附带在请求内。
还有一种利用嵌套frame搞事情的方式,就是把别人的网页iframe,这样也可以诱导用户操作并得到一些敏感信息。俗称XFS攻击。防范的方法也一般是设置一下x-frame-options,也可以前端检测一下,有问题就不显示网页。
这是想到的一些常见攻击吧。
想想http+1s已经普及率高达60%了,就有些小激动。
白米Ⅲ级
赞同来自:
白米Ⅲ级
赞同来自:
白米Ⅲ级
赞同来自:
pig pig 白米Ⅲ级
赞同来自:
匿名用户 白米Ⅲ级
赞同来自:
白米Ⅲ级
赞同来自:
【法律声明:本回答仅代表本人,不代表本人供职公司。本人无意泄漏题主隐私信息,所有信息均为题主或题主相关方自行公开或根据法律法规公开于互联网的信息,本人已标明来源,如需删除请先行联系来源方。回答全文内容已经过题主同意】
题主姓名:杨*光,这是题主自己公开的,没办法,题主要建网站,当然要实名备案啦。你问我题主的网站在哪里?看题主签名,进入博客后,看到最底下的备案号了吗?(题主备案号省份写错了,注意修改,正确为蜀ICP备16036143号)查一下网站备案信息,就可以知道了。当然,题主自己暴露名字不算。(链接我都给了,需要的话git的历史也抹干净吧)
题主博客链接,内容由题主自己公开,网站原标注备案号为浙ICP备 15005796号-2
蜀ICP备16036143号 网站备案信息
题主自己公开的姓名(题主尽快修改啊)题主学号烦请题主自己点这个链接:http://www.ccse.uestc.edu.cn/view?type=59&id=6202这是题主的大学。
邮箱、手机号、域名注册商通过某总所周知的****查询方法查询就查到了,也是题主主动公开的(该查询方法已和题主沟通不予公开)。
既然手机号有了,那么剩下的注册了什么网游之类的问题也不难了(该查询方法已和题主沟通不予公开)
身份证号码比较隐私,确实可以拿到,获得方法,根据相关法律法规不得传播。
密码需要社工库,或者其他方法,根据相关法律法规不得传播。
后面还有很多内容,根据相关法律法规不得传播。
只能写这么多,不好意思
==================
HTTP 是明文传输没错,但是本回答内容和HTTP完全无关
==================
不过说个题外话,感觉题主好优秀,敏而好学且天赋也高,还是个学霸。
利益无关:财务一枚
匿名用户 白米Ⅲ级
赞同来自:
白米Ⅲ级
赞同来自:
比如你被某人引导到假的淘宝网站,假的银行网站怎么办
白米Ⅲ级
赞同来自:
比如某网站在网页里写个公钥,然后交互信息都通过js用公钥加密,这样虽然你看到明文了,但是是一堆加密后的乱码,这样你还是没法破解交互信息。
匿名用户 白米Ⅲ级
赞同来自:
匿名用户 白米Ⅲ级
赞同来自:
成都泰聚泰/面聊Wi-Fi网页认证明文信息传输以及网页鸡肋漏洞打包 | wooyun-2015-0105115| WooYun.org
看看你的学号密码在不在里面呀 (滑稽
白米Ⅲ级
赞同来自:
实际上根据HTTP协议的模型来看,中间人攻击就是最大的问题。你什么都是明文的,我真要动什么手脚不要太简单啊!国内前些年wifi开始普及的时候,我是不敢随便连wifi的。不是我不知道这个东西,在人家台湾满大街开始建wifi热点的时候我就已经了解了。我当时第一反应就是,针对这个情况,利用开放的wifi热点就能干很多坏事。后来果不出我所料,不久以后,频繁爆出wifi钓鱼的新闻。
而且你说的情况不对,如果我已经控制了你的计算机,我其实没什么兴趣监听你的HTTP报文。因为你对我来说已经是煮熟的鸭子了。我上高中的时候喜欢干一件事儿,在获取别人电脑的控制权以后,用一个看起来界面差不多的应用程序替换掉他原本的一些应用。当时脑子里没想那么多,只是想替换掉人家的杀毒软件,每天点开看到病毒库是最新的,这样就不容易失去控制。
另外,看到有一个答案以后不太同意,其实就目前来说,钓鱼的成本比走技术手段要低很多。其实能走社工的就不要走技术,费事儿。
最后,其实只要你相信周教主的话,你相对来说还是很安全的。
匿名用户 白米Ⅲ级
赞同来自:
https主要解决的是中间人攻击问题,比如arp欺骗、伪造wlan接入点、dhcp污染,都会直接导致http协议被中间人攻击,http协议、甚至所有未加密的ip协议都会被直接暴露在攻击者面前,其中包括登录的用户名密码,cookie,token这些权限要素,所以,使用http协议传输重要的私人信息是极其危险的!
白米Ⅲ级
赞同来自:
另一方面,http不加密不代表写网站的不会去加密你的密码再发送。