本帖最后由 古明地黒子 于 2015-10-7 12:17 编辑
看到ooxoo在水区提醒大家改密码我心里就一紧,因为论坛都是全程http的,密码感觉是囊中之物。
于是试了一发。
这个一点技术含量都没有啊(冷汗
乱码的部分是因为对中文支持不好而已,就是我的名字啦。
只是Http POST而已,中文编码成URL编码,直接就能转为中文
连接钓鱼Wifi,或者仅仅和别人共享公共Wifi的话,这些未加密的数据就很容易被拿到。当然DNS劫持也是可以的。也很简单。http实在是太脆弱了,攻击数不胜数。
怎么说呢,每次登陆心里都一紧,最后直接把bbs.nyasama.com加入到强制科学代理列表了。(而且似乎在国外线似乎快些)
不知道论坛有没有用CDN,但是其实CDN也是可以支持Https的(参考图解SSL/TLS协议)
希望能https并且HSTS。
啊补充一下,即使不执行输入密码登录操作,照样会出事。只要带着Cookies上一次论坛,攻击者会拿到token,那就是等于登陆了。根据喵玉殿的先有安全机制,除了不能改密码其他都是可以的。
不过发现,改完密码现有Cookies就失效了,这点喵玉倒是做的很棒。
|
发表于 2015-10-7 02:29:07
染红的潜规则
帝爷的潜规则
变色卡
这话说得,让我好心痛啊、、、
.gif)
原来如此,我以后不敢随便连WiFi了
最近去CNSEU