Bisakah penyerang mengendus data dalam URL melalui HTTPS?

19

Bisakah data yang dimasukkan dalam URL dianggap aman jika koneksi dilakukan melalui HTTPS? Misalnya, jika pengguna mengklik tautan dalam surel yang mengarah ke https://mysite.com?mysecretstring=1234 , mungkinkah penyerang mengambil "mysecretstring" dari URL?

James Cadd
sumber

Jawaban:

27

Seluruh permintaan HTTP (dan respons) dienkripsi, termasuk URL.

Tapi ya, ada cara penyerang bisa mengambil URL lengkap: melalui header Referer. Jika ada file eksternal (Javscript, CSS, dll.) Yang tidak lebih dari HTTPS, URL lengkap dapat diendus dalam header Referer. Sama jika pengguna mengeklik tautan di laman yang mengarah ke laman HTTP (tanpa SSL).

Selain itu, permintaan DNS tidak dienkripsi, sehingga penyerang dapat mengetahui bahwa pengguna akan mengunjungi mysite.com.

Julien
sumber
Ketika Anda mengatakan "URL lengkap", apakah itu termasuk parameter (mis. Mysecretstring = 1234)?
sampablokuper
Pada tajuk Referer, jika parameter ada di URL, itu bisa dilihat
chmeee
1
jadi, tidak memuat gambar eksternal, css, js. gunakan / simpan string rahasia, dan redirect secara internal untuk menghilangkan string rahasia. setelah itu bisa menggunakan url eksternal.
Neil McGuigan
14

Tidak, mereka dapat melihat koneksi yaitu mysite.com tetapi bukan? Mysecretstring = 1234 https adalah server ke server

Chris
sumber
6
Bahkan mereka bahkan tidak bisa melihat nama domain yang Anda sambungkan tetapi alamat IP mana. Karena sertifikat SSL hanya bekerja secara wajar pada hubungan domain-nama-ke-IP 1: 1, ini kemungkinan besar tidak relevan. Juga jika penyerang dapat mengendus lalu lintas DNS Anda, ini mungkin terungkap. Parameter GET dan POST sama amannya dengan lalu lintas HTTPS: Jika Anda adalah klien dan sertifikat server valid tanpa kompromi, data aman terhadap penyadapan oleh pihak ketiga.
Paul
0

Mereka harus memiliki kunci enkripsi. Secara teoritis ini tidak mungkin tetapi serangan yang baik bisa. Ini adalah seluruh tujuan SSL untuk mengenkripsi semua data yang dikirim ke dan dari server untuk mencegah tidak bisa mengendus.

Chris
sumber
0

Amankan weblog Anda, atau, bahkan jangan tulis mereka. Jika Anda mendapatkan exploit jarak jauh di mana log dapat dibaca, data URL apa pun akan terlihat di log.


sumber
Data pos tidak ada di log.
Ryaner
semua ini sangat tergantung pada konfigurasi =)
spacediver
-1

Hanya jika mereka dapat mengendus https auth melalui semacam spoofing

Jimsmithkka
sumber
Apakah maksud Anda serangan pria di tengah? Ini lebih dari mengendus, penyerang perlu menyamar sebagai server.
Julien
baik MiM untuk jabat tangan, tetapi setelah hanya mengendus, alat khusus adalah hamster dan musang yang saya lihat ditunjukkan
Jimsmithkka