随笔您现在的位置是:首页 > 博客日志 > 随笔

使用代理是否会暴露Authorization信息?

<a href='mailto:'>微wx笑</a>的头像微wx笑2019-08-05 16:07:07随笔人已围观关键字:权限认证

简介使用代理是否会暴露Authorization信息?HTTP Basic认证每次客户端请求都需带上Authorization请求头, 值为"Basic xxx"。xxx为对用户名和密码进行Base64编码后的值。 若客户端

使用代理是否会暴露Authorization信息?Emp编程技术_踩坑日志_进阶指南 - 无知人生


Emp编程技术_踩坑日志_进阶指南 - 无知人生

HTTP Basic认证

每次客户端请求都需带上Authorization请求头, 值为"Basic xxx"。xxx为对用户名和密码进行Base64编码后的值。 若客户端是浏览器,则浏览器会提供一个输入用户名和密码的对话框,用户输入用户名和密码后,浏览器会保存用户名和密码,用于构造Authorization值。当关闭浏览器后,用户名和密码将不再保存。Emp编程技术_踩坑日志_进阶指南 - 无知人生

用户名/密码经过Base64加码后,这个Base64码值可以轻易被解码并获得用户名/密码,所以此认证方式并不安全。为了传输安全,需要配合SSL使用。Emp编程技术_踩坑日志_进阶指南 - 无知人生


Emp编程技术_踩坑日志_进阶指南 - 无知人生

例如如下的CURL调用:
Emp编程技术_踩坑日志_进阶指南 - 无知人生

curl -x 111.75.223.9:30646 -u alsdkfjlsfdk:sdfsldjfkl http://ivu4e.com

用于认证的用户名密码被以明文的方式发送到了代理服务器,如果代理服务器稍微做点什么手脚,是不是可以利用这个来做点什么你不希望的事情?Emp编程技术_踩坑日志_进阶指南 - 无知人生

本文由 微wx笑 创作,采用 CC BY-NC 4.0 许可协议。 非商业性使用可自由转载、引用、甚至修改,但需署名作者且注明出处。

很赞哦! () 有话说 ()

相关文章

站点信息

  • 建站时间:2018-10-24
  • 服务期限阿里云ECS 2027年到期
  • 主题模板:基于《今夕何夕》修改
  • 文章统计:210篇
  • 文章评论:15条
  • 文章阅读:2818次
  • 文章点赞:1026次
  • 微信公众号:扫描二维码,关注我们
  • 二维码-微信公众号-微wx笑