密码字段通过 GET 方法传输

原创 已于 2022-12-20 22:47:35 修改 · 1.6k 阅读 · 3 ·
CC 4.0 BY-SA版权
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
文章标签:

#web安全 #渗透测试 #配置不当 #GET请求 #登录

于 2022-12-20 22:45:48 首次发布
本文探讨了通过GET方法传输密码的不安全性,通过实际登录尝试和Burpsuite工具揭示问题,强调了将HTML表单方法改为POST的必要性,以提升Web应用的安全防护措施。

摘要生成于 C知道 ,由 DeepSeek-R1 满血版支持, 前往体验 >

0x01 漏洞描述

- 密码字段通过 GET 方法传输 -

密码字段通过 GET 方法传输是不安全的,因为在传输过程,用户凭据以明文等形式被放在请求的 URL 中。大多数 Web 服务器将记录所有请求的参数和 URL ,因此当凭据属于 URL 的一部分时,它们将显示在 Web 服务器日志中,这样就可能会有一些隐私信息被第三方查看获取。另外,攻击者也可以通过中间人攻击等手段,截获到 GET 请求 URL 中到用户凭据,增加了敏感信息泄露的风险。而 POST 请求方式通过“请求体”传递数据,参数内容不会在 URL 中显示,相较于 GET 请求方式会更加安全。

0x02 漏洞验证

输入任意账号密码尝试登录,并使用 Burpsuite 工具抓取网站数据包。

系统使用不安全的 GET 方法提交用户登录凭据,存在一定安全风险隐患。

0x03 漏洞修复

  1. HTML 表单的方法属性应定义和设置为 POST 而非 GET。
java 通过GET请求暴力破解密码
qiye622的博客
09-03 1297
一、原理 GET请求会将参数放在URL中,如果通过GET请求登录,则会将用户名和密码放在URL中进行发送,此时我们可以通过构建URL来进行测试登录,并获取到返回的数据,来判定登录结果,来达到爆破的结果。 二、思路 我们需要通过socket的方式进行连接,并准备用户名和密码字典,依次取出字典中的值,通过两个for循环,用外层用户名,内层密码的方式构建URL,再依次发送,并接收返回的数据,判断登录结果。 此时需要注意的是,在发送了请求后,判定登录失败,则需要关闭socket,并重新建立socket进行下一次登录
通过java代码实现get登录密码暴力破解
不怕死的假老练
09-03 2349
一、原理 GET请求会将参数放在URL中,如果通过GET请求登录,则会将用户名和密码放在URL中进行发送,此时我们可以通过构建URL来进行测试登录,并获取到返回的数据,来判定登录结果,来达到爆破的结果。 二、思路 我们需要通过socket的方式进行连接,并准备用户名和密码字典,依次取出字典中的值,通过两个for循环,用外层用户名,内层密码的方式构建URL,再依次发送,并接收返回的数据,判断登录结果。 此时需要注意的是,在发送了请求后,判定登录失败,则需要关闭socket,并重新建立socket进行下
Http之Get/Post请求区别
weixin_30398227的博客
08-17 200
1.HTTP请求格式: <request line> <headers> <blank line> [<request-body>] 在HTTP请求中,第一行必须是一个请求行(request line),用来说明请求类型、要访问的资源以及使用的HTTP版本。紧接着是一个首部(header)小节,用来说明服务器要使用的附加信息。在首...
HTTP请求GET与POST方法的区别(转)
weixin_30721899的博客
10-29 111
HTTP 定义了与服务器交互的不同方法,最基本的方法GET 和 POST。事实上 GET 适用于多数请求,而保留 POST 仅用于更新站点。根据 HTTP 规范,GET 用于信息获取,而且应该是 安全的和 幂等的。所谓安全的意味着该操作用于获取信息而非修改信息。换句话说,GET 请求一般不应产生副作用。幂等的意味着对同一 URL 的多个请求应该返回同样的结果。完整的定义并不像看起来那样严格。从...
HTTP请求GET与POST方法的区别
烟汐忆梦
12-05 750
HTTP请求GET与POST方法的区别 HTTP 定义了与服务器交互的不同方法,最基本的方法GET 和 POST。事实上 GET 适用于多数请求,而保留 POST 仅用于更新站点。根据 HTTP 规范,GET 用于信息获取,而且应该是 安全的和 幂等的。所谓安全的意味着该操作用于获取信息而非修改信息。换句话说,GET 请求一般不应产生副作用。幂等的意味着对同一 URL 的多个请求应该返回同
使用GET方式传递参数
guobing2的专栏
11-07 7368
使用GET方式传递参数  在浏览器地址栏中输入某个URL地址或单击网页上的一个超链接时,浏览器发出的HTTP请求消息的请求方式为GET。  如果网页中的表单元素的method属性被设置为了“GET”,浏览器提交这个FORM表单时生成的HTTP请求消息的请求方式也为GET。  使用GET请求方式给WEB服务器传递参数的格式:  http://www.it315.org/counter.jsp
PHP通过get方法获得form表单数据方法总结
10-18
另外,GET方法还有一个限制,那就是传输的数据量有限,通常不超过2KB。如果表单数据量较大,应考虑使用POST方法。 总结一下,PHP通过GET方法获取表单数据是一种常见的网页交互方式,它简单易用但安全性较低。在实际...
php下通过POST还是GET来传值
10-30
假设通过POST方法提交了一个名为username的表单字段,代码示例如下: ```php $username = $_POST["username"]; ``` 选择使用GET还是POST,主要取决于数据的类型和安全性需求。例如,如果只是简单的查询操作,并且...
get-html-pass.rar_VC Html_html pass_pass_密码 网页 _获取网页
09-21
标题中的"get-html-pass.rar_VC Html_html pass_pass_密码_网页_获取网页"表明这是一个关于使用VC++(Visual C++)开发的项目,其目的是从HTML网页中抓取或解析用户的登录信息,如用户名和密码。这个项目可能涉及到...
Windows与Linux之间文件传输方法图解
09-15
3. 输入连接信息:在"主机名"字段中填入Linux服务器的IP地址,"用户名"字段填写你的Linux账户名,然后在"密码"字段中输入对应的密码。 4. 登录:点击“登录”按钮,WinSCP将尝试连接到Linux系统。如果配置正确,你...
正常get或post提交账号密码
热门推荐
fsh_walwal的博客
06-14 1万+
登陆前打开fiddler,进行抓包,当然你需要先配置浏览器代理。在点击登录前可以使用快捷键Ctrl+x清空fiddler抓取记录,这样可以更好的找到登陆的请求。同样你也可以使用fiddler的过滤功能,如下图:至于如何确定那个是登陆的请求,一般使用Ctrl+f查找某些关键字,如用户名、密码下图为一般登陆请求使用post请求,用户名和密码为明文提交如下图为登陆的请求头和响应头信息,可见响应头中有s...
HTTP协议中,GET方法与POST方法比较
Excceed的博客
02-25 963
GET方法 在HTTP协议中,GET用于信息获取,而且应该是安全的和幂等的。 在这里,所谓安全,一维着该操作用于获取信息而非修改信息。换句话说,GET请求一般不应产生副作用。而幂等意味着对同一URL的多个请求应该返回同样的结果。 通常,我们在浏览器中直接输入网址打开一个网页时,使用的就是GET方法。通过GET方法到指定网站获取相关的网页内容。 GET方法只是用来获取服务器资源,其实,通过GE
GET和POST方法
shirley05lhz的博客
03-07 280
HTTP请求主要分为Get和Post两种方法GET是从服务器上获取数据,POST是向服务器传送数据GET请求参数显示,都显示在浏览器网址上,HTTP服务器根据该请求所包含URL中的参数来产生响应内容,即“Get请求的参数是URL的一部分。 例如: http://www.baidu.com/s?wd=ChinesePOST请求参数在请求体当中,消息长度没有限制而且以隐式的方式进行发送,通常用来向H...
前后端关于密码敏感字段传输方案解析
qq_42383970的博客
08-18 1998
前后端关于密码敏感字段传输方案解析
python代码实现http get请求curl -u 用户名:密码 url -X get
SAGGITARXM
08-24 1364
【代码】python代码实现http get请求curl -u 用户名:密码 url -X get
get方法,post方法
yang398835的博客
03-01 386
前几天工作中,所有表单我都采用post方法,头儿说那样不好,大型网站上一般都采用get方法,不理解。在网上摘到一段比较有用的话 减低服务器流量压力根据 HTTP 规范,GET 用于信息获取,而且应该是 安全的和 幂等的。所谓安全的意味着该操作用于获取信息而非修改信息。换句话说,GET 请求一般不...
get请求 不固定参数名_[SpringSecurity] 设置请求账户和密码的参数名
weixin_33902011的博客
01-20 341
当进行登录时会执行 UsernamePasswordAuthenticationFilter 过滤器。 usernamePasrameter:账户参数名 passwordParameter:密码参数名 postOnly=true:默认情况下只允许 POST 请求。默认情况下 登录名/密码和默认请求表单也必须是同名如果要修改默认的请求参数,就需要这么做1.修改配置类2.修改表单name属性pack...
登录和注册(一)注册——axios之get请求图片验证码-base64、密码由特殊字符组成、用户名密码相同重写、校验之邮箱注册和手机注册 & 定时setInterval和clearInterval
最新发布
weixin_44867717的博客
05-14 745
图片验证码接口返回的数据。
简单的ajax任务:get和post方式提交前端用户输入信息给服务器
m0_53881899的博客
09-03 657
简单的ajax任务:get和post方式提交前端用户输入信息给服务器
HTTP请求演示:Get、Post方法与Servlet源码解析
在初始化之后,Servlet可以响应客户端请求,此时会调用`service()`方法,这个方法会根据请求的类型(GET、POST等)调用相应的处理方法,如`doGet()`或`doPost()`。当Web服务器决定不再保留Servlet时,会调用`destroy...
评论 1
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包

打赏作者

Luckysec

你的鼓励将是我创作的最大动力

¥1 ¥2 ¥4 ¥6 ¥10 ¥20
扫码支付:¥1
获取中
扫码支付

您的余额不足,请更换扫码支付或充值

打赏作者

实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值