HTTP Temp temping utilizzando le possibilità di attacco MITM e prevenzione in api di riposo

0

Temperamento del verbo HTTP utilizzando le possibilità di attacco del MITM e la prevenzione in api di riposo

Se un URL dell'applicazione dipende solo dal metodo http per determinare la sua azione, come possiamo ridurre l'impatto del rinvenimento da parte di qualcuno che usa tecniche MITM?

Ad esempio, GET / xyz / visualizza la pagina di visualizzazione dell'entità da richiedere mentre DELETE xyz / può eliminare la pagina. Il problema è che se una richiesta utente amministratore per la pagina dello spettacolo e qualcuno nel mezzo cambia metodo per eliminare, la pagina verrà eliminata.

Entrambe le richieste richiedono lo stesso token di autenticazione, quindi l'attaccante, seduto nel mezzo, dovrà solo cambiare metodo e l'entità verrà cancellata.

Come possiamo ridurre le possibilità di tali scenari? Sarà sufficiente un messaggio di conferma o altre misure dovrebbero essere applicate?

    
posta Sum 27.06.2017 - 10:16
fonte

1 risposta

4

Se temi un uomo nel mezzo dell'attacco, dovresti proteggerlo usando HTTPS invece di HTTP. HTTPS è progettato esattamente per proteggere il trasferimento di dati dalle modifiche da parte di un uomo nel mezzo.

L'uso di un qualche tipo di semplice messaggio di conferma invece non aiuta poiché un uomo in mezzo all'attaccante può anche rispondere a questo messaggio o modificare la risposta presentata al client. Mentre è probabile che si pensi a un sistema più complesso di messaggi firmati per gestirli correttamente, implementare questo da soli è molto più difficile farlo correttamente rispetto all'abilitazione di HTTPS. Pertanto l'utilizzo di HTTPS dovrebbe essere il modo migliore per proteggersi dal MITM.

    
risposta data 27.06.2017 - 10:23
fonte

Leggi altre domande sui tag