好吧，金山泄密的一些分析（1月4号再次补充内容顺便改标题）

ibc

pop0762 发表于 2011-1-4 19:32
说少量的同学其实就是在说50步笑100步

深究一下，这些隐私是怎么传上去的呢？
数字承认是客户端上传，服务器记录备份。
金山的是一个专门供人提交网址进行查询的网站，没有证据表明其URL来源于客户端的自动上传。

怎么就成了五十步笑百步？

pop0762

回复 101楼 ibc 的帖子

错了就是错了，笔误是没用的。

ibc

回复 102楼 pop0762 的帖子

您继续，我不再浪费感情

曹孟德

ibc 发表于 2011-1-4 18:25
回复 87楼 曹孟德 的帖子

比如说，我在某站，输入用户名密码后点提交（get方式），浏览器自动新建一个标签 ...

你不是做网站的，你是不会明白的！！！
只要我的url不是故意带username和password你网速再慢也是看不到的。。。
都是在后台运行的，你前台url是不会显示出来的，你又怎么能看得到呢！

ibc

回复 104楼 曹孟德 的帖子

是不是可以理解为，点击提交之后，在接到服务器返回信息的时候才有可能有新的URL产生，这时候才会新建标签？

salmon5

曹孟德 发表于 2011-1-4 20:31
你不是做网站的，你是不会明白的！！！
只要我的url不是故意带username和password你网速再慢也是看不到的 ...

hping2、nping、sniffer pro、omnipeek等软件数据包，包含链路层、网络层、传输层等
都可以伪造出来，
何况只是一个应用层的提交。
sniffer pro、omnipeek、IEInspector HTTP Analyzer很简单伪造一个提交账号密码的url。

salmon5

ibc 发表于 2011-1-4 20:38
回复 104楼 曹孟德 的帖子

是不是可以理解为，点击提交之后，在接到服务器返回信息的时候才有可能有新的UR ...

不必疑惑了，sniffer pro、omnipeek、IEInspector HTTP Analyzer可以伪造一个提交账号密码的url，再加记事本就可以了。

曹孟德

ibc 发表于 2011-1-4 20:38
回复 104楼 曹孟德 的帖子

是不是可以理解为，点击提交之后，在接到服务器返回信息的时候才有可能有新的UR ...

不一定要新建标签。。
是产生一个新的URl,但是你不在那个URL中包含那个重要信息，url中是不会出现的，表单提交一般都是用函数来传递的
所以普通用户网速再慢也不会发现的。。。

曹孟德

salmon5 发表于 2011-1-4 20:43
hping2、nping、sniffer pro、omnipeek等软件数据包，包含链路层、网络层、传输层等
都可以伪造出来，
...

我不知道用PHP来提交数据，会不会出现带password的URL，下次有机会试一下！

webuncle

有问题，敢于认错就是好同志，不像某些粉还来颠倒黑白