Vorrei sapere se intercettare e modificare le richieste usando Burpsuite prima di raggiungere il server è considerato come vulnerabilità.
Nelle nostre applicazioni web e mobili, sono in atto misure di sicurezza adeguate per evitare attacchi di riproduzione e integrità dei dati ecc.,
Ora lo stesso viene valutato da uno dei team di sicurezza delle applicazioni, usano Burpuite per intercettare il carico utile della richiesta e hanno sollevato alcune vulnerabilità di sicurezza che non sono riproducibili senza utilizzare Burpsuite.
Quindi utilizzare tali strumenti è ancora un caso valido e considerato vulnerabile?
Lasciatemi spiegare il caso di test che sto cercando di trovare una soluzione, per evitare attacchi di replay uso il client e il server nonce nella mia applicazione web. Le richieste vengono intercettate usando burp-suite e solo il client nonce viene cambiato e inoltrato al server e la sua richiesta ovvia verrà elaborata. È sollevato per essere una vulnerabilità.