我熟悉SSL / TLS及其保护浏览器和Web服务器之间通过HTTP发送的数据的机制。我的安全测试团队发现的问题之一是通过SSL篡改请求,他们能够使用中间人攻击来修改POST请求的HTTP请求有效负载强>。浏览器显然确实显示了证书有效性警告,因此被忽略。
我认为,应用程序不应处理或补救此类请求篡改方案,因为SSL / TLS会处理它。与任何客户端验证匹配的服务器端数据验证应足以确保HTTP有效负载有效。
所以我的问题基本上是确认我对此的理解。使用针对SSL的中间人攻击来篡改请求是否是有效的安全测试方案?并且应用程序应该执行任何特定的请求编码来防止此类攻击。
答案 0 :(得分:0)