Temperamento del verbo HTTP utilizzando le possibilità di attacco del MITM e la prevenzione in api di riposo
Se un URL dell'applicazione dipende solo dal metodo http per determinare la sua azione, come possiamo ridurre l'impatto del rinvenimento da parte di qualcuno che usa tecniche MITM?
Ad esempio, GET / xyz / visualizza la pagina di visualizzazione dell'entità da richiedere mentre DELETE xyz / può eliminare la pagina. Il problema è che se una richiesta utente amministratore per la pagina dello spettacolo e qualcuno nel mezzo cambia metodo per eliminare, la pagina verrà eliminata.
Entrambe le richieste richiedono lo stesso token di autenticazione, quindi l'attaccante, seduto nel mezzo, dovrà solo cambiare metodo e l'entità verrà cancellata.
Come possiamo ridurre le possibilità di tali scenari? Sarà sufficiente un messaggio di conferma o altre misure dovrebbero essere applicate?