服务器 Gind.cn
  1. 服务器 Gind.cn
  3. login到非httpslogin页面,但login表单发布操作是https
Intereting Posts
木偶:如何添加一行到现有的文件 如何通过SSH使用rsync与IPv6地址? 限制域环境中的驱动器格式 .htaccess正则expression式的最佳性能? 不能SSH,但可以TeamViewer 当使用pg_upgrade时,flagstaff_subset不是空的错误 查找两个节点之间的networkingIP Postfix转发所有电子邮件,无论限制 用于Web应用程序开发(LAMP)的最佳Linux风格 在Linux中更改lp打印机的目的地 Xen PV,Xen HVM和KVM Mac OSX服务器10.5外部DNS问题 关于inotifywait的问题 MS Office 2010terminal服务器上的授权要求 有没有像顶级的Linux工具,只有累积?

login到非httpslogin页面,但login表单发布操作是https

如果用户login到非httpslogin页面。 当用户login时,该操作将指向一个httpsurl。 我的问题是 – 用户信息是否encryption? 有没有办法嗅探并获取用户信息?

用户在login页面 – >路由器/互联网(信息是未encryption的)(同一networking上的用户可以获取您的信息) – > https:// url (info变成encryption)

谢谢!

这是不安全的,因为攻击者可以执行中间人攻击,并将未encryption页面上的POST目标URL更改为攻击者站点,保存用户名和密码,然后redirect到原始的encryption页面。

受害者甚至没有机会注意到有什么地方是错的。

所以:永远不要这样做。