사용자와 애플리케이션 간의 네트워크 통신을 스니핑(감시)하는 공격자가 특별히 액세스 제어에 사용되는 것은 아니지만, 특히 인증 정보의 경우 데이터 노출을 인식하는 것이 점점 더 중요해지고 있습니다.
SSL을 사용하면 HTTP 요청 및 응답이 노출되는 것을 효과적으로 방지할 수 있습니다. https 체계를 사용하는 모든 리소스에 대한 요청은 비밀번호 스니핑으로부터 보호됩니다. 가장 좋은 방법은 항상 SSL을 사용하여 인증 정보를 보내는 것입니다. 세션 하이재킹을 방지하기 위해 SSL을 사용하여 세션 ID가 포함된 모든 요청을 보낼 수도 있습니다.
사용자 인증 정보가 노출되는 것을 방지하기 위해
CODE: <form action="https://example.org/login.php" method="POST"> <p>Username: <input type="text" name="username" /></p> <p>Password: <input type="password" name="password" /></p> <p><input type="submit" /></p> </form>
와 같이 폼의 action속성 URL에 https 방식을 사용합니다.
SSL을 사용하든 안하든 인증 정보가 노출되는 경우가 적기 때문에 인증 양식에서는 POST 방식을 사용하는 것이 좋습니다. GET 방식.
이는 사용자의 인증 정보가 노출되지 않도록 보호하기 위한 조치일 뿐이지만 HTML 양식에는 SSL을 계속 사용해야 합니다. 이는 기술적인 이유로 수행되지는 않지만 사용자는 양식이 SSL로 보호된다는 것을 알게 되면 확인 정보를 입력하는 것이 더 편안해질 것입니다(그림 7-1 참조).
그림 7-1. 현재 리소스가 SSL로 보호되는 경우 대부분의 브라우저에는 잠금 아이콘이 표시됩니다.
위 내용은 PHP 보안-비밀번호 스니핑 내용입니다. 더 많은 관련 내용은 PHP 중국어 홈페이지(m.sbmmt.com)를 참고해주세요!