URL PHP基本认证这是安全问题吗？

Question

比方说，我确实有这样的网址：

  

http://mywebsite.com:8080/get.php?username=JohnDoe&password=FfolBdKf2K

我也仅与John Doe共享此URL，因此，如果他调用此URL，他将获得该特定内容。

我的问题现在是关于这样的链接的安全站点的：

让我们想象一个HACKER知道他可以使用上面提到的URL访问特定内容。 他只需要了解现有的username和password。

• 这个HACKER找出username的难度有多大， password在这种情况下？
• 是否有任何工具可以扫描网站（http://mywebsite.com:8080/get.php?）中的有效username和password？

请注意，我知道：

• 调用此URL的任何人都可以访问此特定内容。但这不是这个问题的重点。我对这种URL的安全站点更加感兴趣。
• 此URL不是HTTPS，因此中间人攻击也是可能的。但这仅对访问的URL有效，对其他创建的URL无效。

Answer 1

这很糟糕。您至少应该拥有SSL加密的流量，因为使用当前的方法，只需嗅探http流量即可获取凭据。有相应的工具-不需要知识。

没有简单的方法来猜测给定的url是否期望登录并传递参数，但是您总是可以在盲目尝试中尝试观察会发生什么。然后，一旦知道这些args将起作用，便有工具可以轻松地对该URL进行暴力破解。