嗅探和篡改网站的请求和响应,如何预防
本文关键字:响应 求和 何预防 请求 网站 嗅探 | 更新日期: 2023-09-27 18:33:40
我正在研究我的网站的安全性和其他东西。
在我的国家,在线支付的工作方式就像PayPal一样。
意味着您应该通过邮政方法将一些参数(例如金额,商家ID,退货URL,ResNum(OrderID(传递给银行,银行将在付款后将一些参数(例如MID,状态,ResNum(传递给您。
在此请求和响应期间,有人可以使用以下软件进行嗅探和篡改:
http://www.fiddler2.com/fiddler2/请看这个视频:
http://www.fiddler2.com/fiddler/help/video/我测试了它,它也可以使用证书在 HTTPS 上运行。
哇。。。
- 如何防止这种嗅探和篡改?
银行站点中有一个名为VerifyTransaction的函数,该函数在付款后在卖方端调用,此函数返回金额。
此功能位于银行端的 Web 服务上。
主要问题是: - 有人可以嗅探和篡改银行和卖家之间的网络服务吗?
意思是小提琴手可以做到这一点或其他工具吗?
如果是,我们如何防止这种嗅探和篡改(Web 服务(?
真的很感谢关注
Fiddler 运行在运行 Web 浏览器的同一客户端上,两者都在同一用户的控制下,因此它不能做任何仅用浏览器无法完成的事情(但可能会付出更多的努力(。
永远无法保证从客户端到您的服务器的数据是由您为它们服务的 HTML/JavaScript/等发送的。这就是为什么你永远不应该相信用户输入,例如,总是在服务器端进行数据验证(并且仅在客户端额外进行以提高可用性(。这就是银行和卖方之间进行网络服务调用的原因,以确保交易细节正确无误。
通过正确的TLS设置可以防止卖方服务器和银行服务器之间的流量被篡改和嗅探。