是否可以在中转时修改服务器回复

【问题标题】:Is it possible to modify server reply on transit是否可以在中转时修改服务器回复
【发布时间】:2013-01-01 06:16:36
【问题描述】:

我正在构建一个允许使用 SRP-6 协议对服务器进行身份验证的 javascript 库。

我知道由于 XSS,使用 javascript 作为身份验证方法不是最佳选择。但是适当的 XSS 预防可以消除大多数问题。

我唯一关心的是在用户收到请求之前修改服务器回复有多容易?

示例场景:

用户请求页面:http://serverdomain/home

服务器: 回复:

<html>
   <head>Home</head>
   <script type="text/javascript" src="auth.js"></script>
   <body>Home</body>
</html>

在用户收到回复之前。黑客能以某种方式神奇地修改回复

<html>
   <head>Home</head>
   <script type="text/javascript" src="hacker_auth.js"></script>
   <body>Home</body>
</html>

这可能吗?这是我在使用 javascript 进行身份验证时能想到的漏洞之一。

【问题讨论】:

  • en.wikipedia.org/wiki/Man-in-the-middle_attack ?
  • 是的,有可能,有很多方法可以做到。
  • @Badaboooooom 这就是我要找的词,谢谢!
  • @RichardHeath,它不限于 JavaScript。客户端和服务器之间任何形式的裸露通信都可以被拦截
  • 您应该在 HTTPS 上使用 SRP,因为它们是免费的,并且可以针对此类攻击提供一些额外的防御。

标签: javascript security srp-protocol


【解决方案1】:

Badaboooooom 成功了:http://en.wikipedia.org/wiki/Man-in-the-middle_attack 您可以使用 https 来降低风险,但如果用户没有注意到“锁定”已消失,http://www.thoughtcrime.org/software/sslstrip/ 等工具仍然可以进行攻击。

【讨论】:

    【解决方案2】:

    您可以使用像 HTTPS 这样的安全协议来避免这种情况,尽管一切都可以通过某种方式被黑客入侵,但有些比其他的更容易被破解。

    【讨论】:

      猜你喜欢
      • 2017-01-10
      • 2011-03-18
      • 2020-07-19
      • 1970-01-01
      • 1970-01-01
      • 1970-01-01
      • 2011-07-16
      • 2011-11-14
      • 2011-01-04
      相关资源
      最近更新 更多
      热门标签
      Java Python linux javascript Mysql C# Docker 算法 前端 SpringBoot Redis Vue spring 设计模式 .net core .net kubernetes c++ 数据库 数据结构 大数据 js 机器学习 微服务 Android Go 程序员 面试 JVM ASP.net core 云原生 人工智能 后端 PHP git CSS golang k8s Nginx Django mybatis 深度学习 多线程 React 架构 devops 爬虫 云计算 Spring Boot LeetCode