使用中间人攻击请求篡改 SSL

【问题标题】:Request tampering over SSL using man-in-the-middle attack使用中间人攻击请求篡改 SSL
【发布时间】:2019-07-09 14:35:22
【问题描述】:

我熟悉 SSL/TLS 及其保护在浏览器和 Web 服务器之间通过 HTTP 发送的数据的机制。我的安全测试团队发现的问题之一是request tampering over SSL,他们能够使用 ma​​n-in-the-middle 攻击修改 POST 请求的 HTTP 请求负载强>。浏览器显然确实显示了证书有效性警告,并且被忽略了。

在我看来,应用程序不应该处理或修复此类请求篡改场景,因为 SSL/TLS 会处理它。匹配任何客户端验证的数据的服务器端验证应该足以确保 HTTP 有效负载有效。

所以我的问题基本上是为了确认我对此的理解。通过 SSL 使用中间人攻击来篡改请求是否是有效的安全测试场景?并且应用程序是否应该执行任何特定的请求编码以防止此类攻击。

【问题讨论】:

    标签: security penetration-testing


    【解决方案1】:

    是的,这是一个有效的测试场景。

    根据您的应用程序的威胁模型,应用程序可能会实施证书固定,以减轻该威胁。这样,您可以确保只有特定的证书(或由某个 CA 签名的证书是受信任的。

    请参阅this answer 以供参考。

    【讨论】:

      猜你喜欢
      • 2016-06-08
      • 2014-03-25
      • 2013-03-28
      • 2014-09-29
      • 1970-01-01
      • 1970-01-01
      • 1970-01-01
      • 2012-09-21
      • 2018-08-31
      相关资源
      最近更新 更多
      热门标签
      Java Python linux javascript Mysql C# Docker 算法 前端 SpringBoot Redis Vue spring 设计模式 .net core .net kubernetes c++ 数据库 数据结构 大数据 js 机器学习 微服务 Android Go 程序员 面试 JVM ASP.net core 云原生 人工智能 后端 PHP git CSS golang k8s Nginx Django mybatis 深度学习 多线程 React 架构 devops 爬虫 云计算 Spring Boot LeetCode