随笔您现在的位置是:首页 > 博客日志 > 随笔

使用代理是否会暴露Authorization信息?

<a href='mailto:'>微wx笑</a>的头像微wx笑 2019-08-05随笔 14 0关键字: 权限认证  

使用代理是否会暴露Authorization信息?HTTP Basic认证每次客户端请求都需带上Authorization请求头, 值为"Basic xxx"。xxx为对用户名和密码进行Base64编码后的值。 若客户端

使用代理是否会暴露Authorization信息?aVJ无知


aVJ无知

HTTP Basic认证

每次客户端请求都需带上Authorization请求头, 值为"Basic xxx"。xxx为对用户名和密码进行Base64编码后的值。 若客户端是浏览器,则浏览器会提供一个输入用户名和密码的对话框,用户输入用户名和密码后,浏览器会保存用户名和密码,用于构造Authorization值。当关闭浏览器后,用户名和密码将不再保存。aVJ无知

用户名/密码经过Base64加码后,这个Base64码值可以轻易被解码并获得用户名/密码,所以此认证方式并不安全。为了传输安全,需要配合SSL使用。aVJ无知


aVJ无知

例如如下的CURL调用:
aVJ无知

curl -x 111.75.223.9:30646 -u alsdkfjlsfdk:sdfsldjfkl http://ivu4e.com

用于认证的用户名密码被以明文的方式发送到了代理服务器,如果代理服务器稍微做点什么手脚,是不是可以利用这个来做点什么你不希望的事情?aVJ无知

本文由 微wx笑 创作,采用 署名-非商业性使用-相同方式共享 4.0 许可协议,转载请附上原文出处链接及本声明。
原文链接:https://www.ivu4e.cn/blog/essay/2019-08-05/92.html

很赞哦! () 有话说 ()

相关文章