Ich arbeite an Webanwendungen und wie Sie wissen, ist ein Administratorfenster in den meisten Fällen ein Muss. Wir können sehen, dass viele Webanwendungen eine spezielle Anmeldeseite für Administratoren haben, auf der es ein Formular gibt (normalerweise POST
-Methode), mit dem Administratoren ihr Panel anmelden können.
Da die Feldnamen bekannt sind, kann ein Hacker versuchen, die Kennwörter zu knacken, selbst wenn einige Sicherheitsmethoden implementiert sind.
Was ist also das Problem mit einem einfachen GET
-Schlüssel (as)? Benutzername) und sein Wert (als Passwort)? Warum es nicht oft verwendet wird oder zumindest in vielen Artikeln nicht empfohlen wird?
Für Administratoren werden benutzerfreundliche Anmeldeseiten nicht wirklich benötigt! In beiden Fällen werden Daten protokolliert ( GET
/ POST
), wenn ein MiTM-Angreifer vorhanden ist.
Bei Verwendung dieser Methode werden Felder jedoch nicht erwartet für Admins selbst. Hier ist ein Beispiel für einen PHP-Code:
"category.php": (Ein bedeutungsloser Seitenname)
<? Phpif (isset ($ _ GET ['Meaningless_user']) && $ _GET ['bedeutungsloses_Wort'] == "etwas") {session_start (); $ _SESSION ["user"] = "test"; Header ('Ort: category.php'); // Auf dieselbe oder eine andere Seite umleiten, damit die GET-Parameter aus der URL verschwinden} else {die (); // Es wird also wie eine leere Seite sein}? >