玩了一下 TCP 会话劫持,HTTP 太不安全了

2014-06-23 10:37:39 +08:00
 heiher
今天也玩了一下TCP会话劫持,很容易就能在百度搜索结果中插入了一条自己的结果,当然也可以调整原来的搜索结果的排序啦。还玩了一下将某个登录页面中用户名和密码额外POST一份到自己的服务器上。在被劫持的后觉得真的只要想得到就能做的到的。

现在觉得某些 ISP 仅是向用户展示一些广告啥的已经很善良了。
15448 次点击
所在节点    程序员
39 条回复
Actrace
2014-06-23 11:58:54 +08:00
《计算机信息网络国际联网安全保护管理办法(公安部令第33号)》
请注意,是国际联网.
ayang23
2014-06-23 12:25:11 +08:00
@heiher 听说移动员工就靠倒卖用户信息和手机号发财,ISP可能不去卖,但ISP也是人在管理啊
davidjqq19
2014-06-23 12:33:00 +08:00
用https就好了
sanddudu
2014-06-23 12:37:41 +08:00
@akfish 本身你不接受他们的行为,还享受他们的服务,是自己找罪受?
所以你不接受本身就不要注册 / 安装
另外如果你同意的是 EULA ,那你只是被授权使用软件,开发商随时可以收回使用权

只是说明不是流氓网站 / 软件才会要求注册必须同意协议内容
不过没做的那么绝,不会不同意就真的收回你的账号
shuax
2014-06-23 12:40:21 +08:00
玩了一下菜刀,生命太不安全了。
xingxiucun
2014-06-23 12:43:36 +08:00
idc要做安全审计的 一般都是对出入的流量镜像一份然后做审查。。。。不只http
akfish
2014-06-23 13:17:46 +08:00
@sanddudu 有种条款叫做霸王条款,有种选择叫做没有选择,在天朝这很奇怪么
LetFoxRun
2014-06-23 13:20:12 +08:00
怎么玩的,大神可否写篇博客或者简单的介绍,谢谢。
Admstor
2014-06-23 13:53:05 +08:00
ISP一般也就插插广告,以及根据有关部门的要求屏蔽一些网站而已了

最有安全隐患的是公共wifi...
我现在在外面不熟悉的地方,宁愿用自己龟速的EDGE也不用wifi了
kqz901002
2014-06-23 13:56:54 +08:00
@doskoi gfw的确在犯罪啊
heiher
2014-06-23 13:57:37 +08:00
@LetFoxRun 这个技术上的门槛太低了,Google 一下一大把的。
heiher
2014-06-23 13:58:08 +08:00
@Admstor 免费WIFI用呀,全局代理到自己的VPS上。
ioth
2014-06-23 14:44:46 +08:00
@kqz901002 天朝zf不承认存在这个东西。
a2z
2014-06-23 14:51:50 +08:00
heiher
2014-06-23 15:01:56 +08:00
@a2z 这就是我之前说的部分HTTP是没有意义的,也有人说使用JS实现的密码加密并不是合适的方法。
Admstor
2014-06-23 15:15:54 +08:00
@heiher 并没有自己的VPS...
Mutoo
2014-06-23 22:13:26 +08:00
latyas
2014-06-27 09:21:58 +08:00
一直通过自己的vps走443..
tianruoqiwo
2014-10-23 18:11:48 +08:00
@heiher 你的演示视频 挂掉了··要不分享到百度云上吧

这是一个专为移动设备优化的页面(即为了让你能够在 Google 搜索结果里秒开这个页面),如果你希望参与 V2EX 社区的讨论,你可以继续到 V2EX 上打开本讨论主题的完整版本。

https://www.v2ex.com/t/119011

V2EX 是创意工作者们的社区,是一个分享自己正在做的有趣事物、交流想法,可以遇见新朋友甚至新机会的地方。

V2EX is a community of developers, designers and creative people.

© 2021 V2EX