請(qǐng)求信息中敏感信息采用了明文傳輸,當(dāng)用戶(hù)主機(jī)遭受盜號(hào)木馬攻擊或在網(wǎng)絡(luò)出口處有惡意人員進(jìn)行網(wǎng)絡(luò)嗅探攻擊時(shí)����,用戶(hù)的賬號(hào)及口令信息將很容易被惡意攻擊者暴力猜解獲得。(對(duì)于https的棧流程, 加密層位于http層和tcp層之間�����,所以抓到的http層的數(shù)據(jù)并沒(méi)有加密�。同理在后臺(tái)接收端,經(jīng)歷解密后,到達(dá)http層的數(shù)據(jù)也是明文����。 要注意,https不是對(duì)http報(bào)文進(jìn)行加密�,而是對(duì)業(yè)務(wù)數(shù)據(jù)進(jìn)行加密, 然后用http傳輸�����。)
漏洞驗(yàn)證:
