Rilevamento manomissione post dati [chiuso]

Naviga le tue risposte
1

Ho studiato un po 'sulla sicurezza su come rendere sicuro il mio server di riposo mobile. Sto guardando un'applicazione mobile che utilizza un semplice HTTP.

Ho attivato il breakpoint proxy di Charles e modifica i dati del post prima di inviarli al loro server. Ad esempio quando modifico la "richiesta" da 

[{"func":"HeartBeat","time":1475481665} ]

a 

[{"func":"HeartBeat","time":1475481777} ]

Ho ricevuto una risposta "firma errata". In che modo il loro server sapeva che i dati della "richiesta" erano stati manomessi in primo luogo?

Tutto quello che so è che la sessione è l'utente corrente, firma e richiesta potrebbero essere collegate in qualche modo. Penso di aver bisogno di generare una nuova firma quando si modificano i dati della richiesta.

    
posta keithics 03.10.2016 - 10:49
fonte

1 risposta

2

Un modo per garantire la sicurezza è che il cliente crei un codice di autenticazione dei messaggi per la richiesta e quindi invii il MAC insieme con i dati. Il server ricreerà il MAC e quindi lo convaliderà rispetto a ciò che è stato inviato.

Questo è probabilmente ciò che sta accadendo nel tuo esempio con la "firma".

    
risposta data 03.10.2016 - 13:51
fonte

Leggi altre domande sui tag

Il furto della chiave privata del webserver consente la decrittografia retroattiva della trasmissione precedentemente registrata? Come convalidare l'integrità di una libreria in fase di esecuzione?