Jag jobbar med webbapplikationer och som ni vet är det ett måste i de flesta fall att ha en administratörspanel. Vi kan se att många webbapplikationer har en specifik inloggningssida för administratörer där det finns ett formulär (vanligtvis
Men eftersom fältnamnen är kända kan en hackare försöka knäcka lösenorden även om vissa säkerhetsmetoder är implementerade.
Så vad är problemet med en enkel GET
-nyckel (som användarnamn) och dess värde (som lösenord)? Varför det inte används mycket eller åtminstone föreslås inte i många artiklar?
För administratörer behövs det inte riktigt användarvänliga inloggningssidor! Data loggas i båda fallen ( GET
/ POST
) om det finns en MiTM-angripare.
Men med den här metoden kommer fälten att vara okända förvänta sig för administratörer själva. Här är ett exempel på en PHP-kod:
"category.php": (Ett meningslöst sidnamn)
<? Phpif (isset ($ _ GET ['meaningless_user']) && $ _GET ['meaningless_word'] == "något") {session_start (); $ _SESSION ["user"] = "test"; rubrik ('Plats: category.php'); // omdirigera till samma eller annan sida så att GET-parametrar försvinner från url} annars {die (); // Så det blir som en tom sida}? >