কোনও আক্রমণকারী এইচটিটিপিএসের মাধ্যমে কোনও ইউআরএল থেকে কী কী ডেটা শুঁকতে পারে?


19

এইচটিটিপিএস-এর মাধ্যমে সংযোগটি তৈরি করা হলে কোনও ইউআরএল অন্তর্ভুক্ত ডেটা নিরাপদ হিসাবে বিবেচনা করা যেতে পারে? উদাহরণস্বরূপ, যদি কোনও ব্যবহারকারী কোনও ইমেলটিতে এমন কোনও লিঙ্ক ক্লিক করে যা https://mysite.com?mysecretstring=1234 এ নির্দেশ করে তবে আক্রমণকারীর পক্ষে ইউআরএল থেকে "মাইসেক্রেসট্রিং" দখল করা সম্ভব হবে কি?

উত্তর:


27

সম্পূর্ণ HTTP অনুরোধ (এবং প্রতিক্রিয়া) URL সহ এনক্রিপ্ট করা হয়েছে।

তবে হ্যাঁ, কোনও আক্রমণকারী পুরো URLটি ধরতে পারে এমন একটি উপায় রয়েছে: রেফার শিরোনামের মাধ্যমে। যদি এমন কোনও বাহ্যিক ফাইল (জাভাস্ক্রিপ্ট, সিএসএস, ইত্যাদি) থাকে যা এইচটিটিপিএসের ওপরে না থাকে তবে রেফারার শিরোনামে পুরো URL টি শুকানো যেতে পারে। ব্যবহারকারী যদি পৃষ্ঠার কোনও লিঙ্কে ক্লিক করেন যা HTTP (কোনও এসএসএল নয়) পৃষ্ঠায় নিয়ে যায় S

এছাড়াও, ডিএনএস অনুরোধগুলি এনক্রিপ্ট করা হয়নি, তাই কোনও আক্রমণকারী জানতে পারে যে ব্যবহারকারী মাইসাইট.কম এ যাচ্ছেন।


আপনি যখন "সম্পূর্ণ ইউআরএল" বলছেন, এতে কি প্যারামিটারগুলি অন্তর্ভুক্ত রয়েছে (যেমন মাইক্রিসেটসট্রিং = 1234)?
সাম্পাব্লুকুপার


1
সুতরাং, কোনও বাহ্যিক চিত্র, সিএসএস, জেএস লোড করবেন না। গোপন স্ট্রিংটি ব্যবহার / সঞ্চয় করুন এবং গোপন স্ট্রিং থেকে পরিত্রাণ পেতে অভ্যন্তরীণভাবে পুনর্নির্দেশ করুন। এর পরে বাহ্যিক ইউআরএল ব্যবহার করতে পারেন।
নিল ম্যাকগুইগান

14

না, তারা সংযোগটি দেখতে পাবে ie mysite.com তবে নয়? Mysecretstring = 1234 https সার্ভার থেকে সার্ভার


6
বাস্তবে তারা দেখতে পাবে না যে আপনি কোন ডোমেন নামের সাথে সংযোগ করছেন তবে কোন আইপি ঠিকানা। যেহেতু এসএসএল শংসাপত্রগুলি কেবল যুক্তিযুক্তভাবে 1: 1 ডোমেন-নাম-থেকে-আইপি-ঠিকানা সম্পর্কের ক্ষেত্রে কাজ করে, এটি সম্ভবত অপ্রাসঙ্গিক। এছাড়াও যদি আক্রমণকারী আপনার ডিএনএস ট্র্যাফিক স্নিগ্ধ করতে পারে তবে এটি প্রকাশিত হতে পারে। জিইটি এবং পোষ্ট প্যারামিটারগুলি এইচটিটিপিএস ট্র্যাফিকের মতোই সুরক্ষিত: আপনি যদি ক্লায়েন্ট হন এবং সার্ভার শংসাপত্রটি আপোষহীন বৈধ হয়, তৃতীয় পক্ষের দ্বারা ডেটা গুছিয়ে রাখার বিরুদ্ধে ডেটা সুরক্ষিত।
পল

0

তাদের এনক্রিপশন কী থাকা দরকার। তাত্ত্বিকভাবে এটি সম্ভব নয় তবে কোনও ভাল আক্রমণ হতে পারে। স্নিগ্ধ করতে সক্ষম না হওয়ার জন্য সার্ভারে এবং প্রেরিত সমস্ত ডেটা এনক্রিপ্ট করা এটি এসএসএলের পুরো উদ্দেশ্য।


0

আপনার ওয়েবলগগুলি সুরক্ষিত রাখুন, বা এগুলি লিখবেন না। আপনি যদি এমন কোনও দূরবর্তী শোষণ পান যেখানে লগগুলি পড়া যায়, কোনও ইউআরএল ডেটা লগগুলিতে দৃশ্যমান হবে।


পোস্ট ডেটা লগগুলিতে নেই।
রায়ানার


-1

কেবলমাত্র যদি তারা কোনও ধরণের স্পোফিংয়ের মাধ্যমে https লেখককে স্নিগ্ধ করতে সক্ষম হয়


আপনি মধ্যবর্তী আক্রমণ মানে? এটি স্নিফিংয়ের চেয়েও বেশি, আক্রমণকারীটির সার্ভারটি ছদ্মবেশ তৈরি করা দরকার।
জুলিয়েন

হ্যান্ডশেকের জন্য এটির এমআইএম ঠিক আছে, তবে এটি স্নিগ্ধ হওয়ার পরে, নির্দিষ্ট সরঞ্জামটি হ্যামস্টার এবং ফেরেট যা আমি দেখিয়েছি
জিম্মিথক্কা
আমাদের সাইট ব্যবহার করে, আপনি স্বীকার করেছেন যে আপনি আমাদের কুকি নীতি এবং গোপনীয়তা নীতিটি পড়েছেন এবং বুঝতে পেরেছেন ।
Licensed under cc by-sa 3.0 with attribution required.