我不确定它的名称是什么,但会发生的是我的POST方法请求可以被像(burp suite)这样的工具捕获并将POST更改为GET。
之后,该过程仍将继续,但现在它会在URL中显示参数及其值。
我如何抵御这种攻击?
该网站使用的是ASP.NET C#。
答案 0 :(得分:3)
Burp套房是一个中间人"具有注入/操纵能力的(MITM)代理。如果您的站点是http(而不是https),那么是:您完全受到流量通过的每个中间人的支配。立即更改您的网站 以使用带有效证书的https。
要使其适用于https,您需要故意破坏您的计算机,installing a dodgy root certificate authority将为其想要MITM的网站颁发虚假证书。这只会通过浏览器的安全系统,因为您损坏了计算机。
依赖于已经受到攻击的客户端的攻击不是来自服务器视角的有趣攻击。您可以合理地做的就是保护完整的客户端。通过使用https并禁用http(非TLS)。如果你期待POST,你可以做拒绝GET的事情 - 但这不会改变GET会发生的事情。但请注意: