嗅探和篡改网站的请求和响应,如何预防?(sniffing and tampering request

2019-09-17 02:26发布

我工作的安全性和其他的东西我的网站。
在我国网上支付工作像贝宝。
意味着你应该以邮寄方式传递一些参数,如金额,MERCHANTID,RETURNURL,ResNum(订单ID)银行和付款后银行会通过一些参数,如MID,状态,ResNum给你。
在此请求和响应有人可以使用该软件下方嗅出和篡改:
http://www.fiddler2.com/fiddler2/
请看到这部影片:
http://www.fiddler2.com/fiddler/help/video/
我测试它,它也使用证书适用于HTTPS。
哇...

  1. 我怎样才能防止这种嗅探和篡改?
    有一个名为VerifyTransaction银行网站的功能是付款后要求卖家侧,该函数返回量。
    此功能是在银行端的Web服务。
    主要问题是:
  2. 银行可以和卖主之间有人嗤之以鼻,并篡改网络服务?
    意味着可以小提琴手做到这一点或其他的工具?
    如果是,我们如何才能防止这种嗅探和篡改(网络服务)?

真的很感谢注意事项

Answer 1:

提琴手是一样的客户端,Web浏览器上运行上运行,无论是同一个用户的控制之下,所以它不能做任何事情,你不能只是一个浏览器(但也许更多的努力)做的。

从未有一个保证从客户端向服务器的数据已经由HTML / JavaScript的/等发送。 你为他们服务。 这就是为什么你不应该相信用户的输入,例如总是做在服务器端数据验证(只有另外对提高可用性的客户端)。 这是银行和卖方之间的Web服务调用的原因,以确保交易的细节是正确的。

篡改和卖家服务器与银行服务器之间的流量嗅探可以通过适当的TLS设置来防止。



文章来源: sniffing and tampering requests and responses of web sites, how prevent?