Security 使用中间人攻击通过SSL请求篡改
我熟悉SSL/TLS及其保护在浏览器和web服务器之间通过HTTP发送的数据的机制。我的安全测试团队发现的问题之一是通过SSL篡改请求,他们能够使用中间人攻击修改POST请求的HTTP请求有效负载。浏览器显然显示了证书有效性警告,但被忽略 在我看来,应用程序不应该处理或纠正这种请求篡改场景,因为SSL/TLS会处理它。与任何客户端验证匹配的数据的服务器端验证应足以确保HTTP有效负载有效Security 使用中间人攻击通过SSL请求篡改,security,penetration-testing,Security,Penetration Testing,我熟悉SSL/TLS及其保护在浏览器和web服务器之间通过HTTP发送的数据的机制。我的安全测试团队发现的问题之一是通过SSL篡改请求,他们能够使用中间人攻击修改POST请求的HTTP请求有效负载。浏览器显然显示了证书有效性警告,但被忽略 在我看来,应用程序不应该处理或纠正这种请求篡改场景,因为SSL/TLS会处理它。与任何客户端验证匹配的数据的服务器端验证应足以确保HTTP有效负载有效 所以我的问题基本上是确认我对这一点的理解。在SSL上使用中间人攻击进行请求篡改是一种有效的安全测试方案吗?应
所以我的问题基本上是确认我对这一点的理解。在SSL上使用中间人攻击进行请求篡改是一种有效的安全测试方案吗?应用程序是否应该执行任何特定的请求编码以防止此类攻击。是的,这是一个有效的测试场景 根据应用程序的威胁模型,应用程序可能会实现证书固定,以减轻该威胁。这样,您就可以确保只有特定的证书(或由特定CA签名的证书)是可信的
请参阅以供参考。是的,这是一个有效的测试场景 根据应用程序的威胁模型,应用程序可能会实施证书固定以减轻该威胁。这样,您可以确保只有特定的证书(或由特定CA签名的证书)是可信的 请参阅以供参考