我必须更新某个网页上的表单才能更改我想要的内容。 我没有这样做,但是例如,他们没有发送简单的文本回复说“这不能工作”,而是在显示屏上发送了整个JSON响应。 我只是很好奇,此响应是否对我或与我联系以处理我的请求的服务器造成任何安全漏洞?
P.S。答复中的“ ***”是这样,因为我不确定提供该信息是否正确。 但是,即使没有它,响应也相当直观。
这是响应:
{“名称”:“ StatusCodeError”,“ statusCode”:409,“消息”:“ 409-[对象对象]”,“错误”:{“状态”:“失败”,“消息” :“电子邮件已接收。”,“代码”:91,“数据”:null,“错误”:{“消息”:“无”}},“选项”:{“ uri”:“ *****” ****“,”方法“:” POST“,”标题“:{”授权“:”承载者********* =“,” Cookie“:” ******** * =; cm_sub = denied“,” User-Agent“:” ********“,” Accept-Language“:” en-US“,” Original-Accept-Language“:” **** ****“,” X-********-InstallId“:” *****“,” X-*****-AppState“:”活动“,” X-** ***-父母-父母“:” ********“,” X-*****-Root-Rid“:” ********“,” X-** ***-Rid“:” *****“,” X-Pixel-Ratio“:1,” X-*****-App-Type“:5,” X-Prefer-User-Locale“ :“ 1”,“ X-Real-Ip”:“ ********”,“ X-*****-Real-Ip”:“ *****”,“ X- * ****-Csrf“:” ********“,” X-*****-Browser-Extension-Installed“:” false“,” X-******** -Referrer“:” ********“,” X-Bot“:” false“,” X-Referrer“:” ********“,” X-Url“:” * *******“},”表格“:{” base_scheme“:” https“,” client_id“:1431601,”时间戳“:*****,”国家“:”美国“,”电子邮件“ :“ *****”,“ oauth_signature”:“ ********”},“ traceId”:false,“ parseJson”:true, “ resolveWithFullResponse”:true,“ json”:true,“ simple”:true},“ response”:{“ statusCode”:409,“ body”:{“ status”:“ failure”,“ message”:“ ** ******“,”代码“ ********,”数据“:null,”错误“:{”消息“:”无“}},”标题“:{”服务器“: “ nginx”,“ date”:“ Sun,10 Mar 2019 16:08:31 GMT”,“ content-type”:“ application / json”,“ content-length”:“ 112”,“ connection”:“ close “,” *****-version“:” *****“,” x-content-type-options“:” *****“,” x-frame-options“:” DENY“, “ *****-generated-by”:“ ********”},“ request”:{“ uri”:{“ protocol”:“ http:”,“ slashes”:true,“ auth“:null,” host“:” *****“,” port“:” *****“,” hostname“:” localhost“,” hash“:null,” search“:null,”查询”:null,“路径名********”,“路径”:“ / v3 / users / settings /”,“ href”:“ ********”},“方法” :“ POST”,“标题”:{“授权”:“ ********”,“ Cookie *********”,“用户代理”:“ Mozilla / 5.0(Windows NT 6.3; Win64; x64)AppleWebKit / 537.36(KHTML,例如Gecko)Chrome / ******** Safari / 537.36“,” Accept-Language“:” en-US“,” Original-Accept-Language“:” en-US ,en; q = 0.9“,” X-*****-InstallId“:” ********“,” X-*****-AppState“:”活动“,” X- *****-Parent-Rid“:” ********“,” X-*****-Root-Rid“:” ************* “,” X-*****-Rid“:” *****“,” X-Pixel-Ratio“:1,” X-*****-App-Type“:5,” X -Prefer-User-Locale“:” 1“,” X-Real-Ip“:” *****“,” X-*****-Real-Ip“:” ******* *“,” X-********-Csrf“:” ********“,” X-*****-浏览器扩展名已安装“:” false“,” X-********-Referrer“:” *************“,” X-Bot“:” false“,” X-Referrer“:” *** *****“,” X-Url“:” ********“,”内容类型“:” application / x-www-form-urlencoded“,” accept“:” application / json “,” content-length“:179}}}}
答案 0 :(得分:1)
这是我从此服务器响应中学到的。我注意到的第一件事是您的协议正在使用http。
“协议”:“ http:”
HTTP是一种纯文本且未加密的通信形式。请务必注意这一点,因为如果有人在嗅探您的流量,他们将能够读取您在此处发布的传输内容(而*****不会阻止敏感数据)。
接下来我注意到的是您的授权令牌。
“授权”:“承载者********* =“
鉴于该邮件为纯文本,攻击者将能够窃取您的令牌。攻击者可以使用此令牌以授权用户的身份与服务器进行通信,从而获得对私人信息的访问(并可能具有修改的能力)。
另一方面,由于我们假设攻击者已嗅探您未加密的流量。他们还可以记录您客户的计算机/浏览器信息:
“ User-Agent”:“ Mozilla / 5.0(Windows NT 6.3; Win64; x64)AppleWebKit / 537.36(KHTML,例如Gecko)Chrome / ******** Safari / 537.36”
从此信息中,攻击者可以收集客户端正在使用Windows 8.1以及客户端计算机上安装了哪些浏览器/版本。借助这些系统规格,攻击者可以在客户端计算机上发起有针对性的攻击(尤其是如果您使用的是过时/不安全的OS或浏览器版本)。
是的,为了回答您的问题,是的。客户端和服务器都存在安全漏洞。
但是,仅从HTTP切换到HTTPS会对限制您的访问量产生很大的影响。