2. 질의 응답
  3. 웹 사이트의 요청 및 응답을 스니핑하고 변조하는 방법은 어떻게됩니까?

웹 사이트의 요청 및 응답을 스니핑하고 변조하는 방법은 어떻게됩니까?

2012-05-08 6 views
1

나는 내 웹 사이트에 대한 보안 및 기타 작업을하고 있습니다.
내 나라 온라인 지불 페이팔처럼 작동합니다.
금액, MerchantID, ReturnURL, ResNum (OrderID) 등의 매개 변수를 은행에 후속 방법으로 전달해야하며 은행에서 결제 후 MID, Status, ResNum과 같은 일부 매개 변수를 전달합니다.
http://www.fiddler2.com/fiddler/help/video/
내가 그것을 테스트하고 또한 인증서를 사용하여 HTTPS에서 작동 :
http://www.fiddler2.com/fiddler2/
이 비디오를 참조하십시오이 요청과 응답 누군가 동안
는 도청 및 변조 아래의 소프트웨어를 사용할 수 있습니다.
와우 ...웹 사이트의 요청 및 응답을 스니핑하고 변조하는 방법은 어떻게됩니까?

    내가이 스니핑 및 변조 방지 할 수있는 방법
  1. ?
    지불 후 판매자 측에서 호출되는 VerifyTransaction이라는 은행 사이트에 함수가 있으며이 함수는 금액을 반환합니다.
    이 기능은 은행 계좌의 웹 서비스에 있습니다.
    주요 질문은 다음과 같습니다.
  2. 누군가가 은행과 판매자간에 웹 서비스를 변조하고 조작 할 수 있습니까?
    의미가 그 도구 또는 다른 도구를 수행 할 수 있습니까?
    예인 경우이 스니핑과 변조 (웹 서비스)를 방지하려면 어떻게해야합니까?

정말 관심

에 대한 감사

출처

2012-05-08 MoonLight

+0

[서버 측에서 HTTPS man-in-middle 공격을 방지하는 방법은 무엇입니까?] (http://stackoverflow.com/questions/3078677/how-to-prevent-https-man-in-middle- 서버 측 공격) –

+0

안녕하세요, 저는 그렇게 생각하지 않습니다. 주요 질문은 웹 서비스에 관한 것입니다. – MoonLight

답변

3
피들러는 웹 브라우저에서 동일한 사용자의 통제하에 모두에서 실행되는 동일한 클라이언트에서 실행되는, 그래서 당신이 할 수없는 아무것도 할 수 없습니다

브라우저 만 있으면됩니다 (그러나 더 많은 노력이 필요합니다).

클라이언트에서 서버로 오는 데이터가 HTML/JavaScript/등으로 전송 된 것은 아닙니다. 당신이 그들을 섬겼다. 그래서 사용자 입력을 절대 신뢰해서는 안됩니다. 항상 서버 측에서 데이터 유효성 검사를 수행합니다 (그리고 유용성 향상을 위해 클라이언트 측에서만 추가적으로). 이것이 거래 내역이 올바른지 확인하기 위해 은행과 판매자 간의 웹 서비스 호출의 이유입니다.

판매자 서버와 은행 서버 간의 트래픽 변조 및 스니핑은 적절한 TLS 설정으로 방지 할 수 있습니다.

출처

2012-05-08 08:45:32

+0

답변을 주셔서 감사합니다. TLS 설정에 대한 정보를 제공해 주시겠습니까? 냄새를 맡고 웹 혈통을 변조하는 방법에 대해 알아야합니다. 견인 서버와 중간 시스템 사이의 xml 형식 통신. 그 점에 대해 어떻게 생각하십니까? – MoonLight

 관련 문제

  • 관련 문제 없음^_^