Pracuję nad aplikacjami internetowymi i jak wiesz, posiadanie panelu administratora jest w większości przypadków koniecznością. Widzimy, że wiele aplikacji internetowych ma określoną stronę logowania dla administratorów, w której znajduje się formularz (zwykle metoda POST
), którego administratorzy mogą używać do logowania się do panelu.
Ale ponieważ nazwy pól są znane, haker może próbować złamać hasła, nawet jeśli zaimplementowano pewne metody bezpieczeństwa.
Więc jaki jest problem z prostym kluczem GET
(jak nazwa użytkownika) i jego wartość (jako hasło)? Dlaczego nie jest używany często lub przynajmniej nie jest zalecany w wielu artykułach?
Dla administratorów przyjazne dla użytkownika strony logowania nie są tak naprawdę potrzebne! Dane zostaną zarejestrowane w obu przypadkach ( GET
/ POST
), jeśli istnieje atakujący MiTM.
Ale używając tej metody, pola będą nieznane. dla samych administratorów. Oto przykładowy kod PHP:
"category.php": (bezsensowna nazwa strony)
<? Phpif (isset ($ _ GET ['sensless_user']) && $ _GET ['sensless_word'] == "coś") {session_start (); $ _SESSION ["user"] = "test"; nagłówek („Lokalizacja: category.php”); // Przekieruj na tę samą lub inną stronę, aby parametry GET zniknęły z adresu URL} else {die (); // Więc to będzie jak pusta strona}? >