Обнюхивать и подделывать запросы и ответы веб-сайтов, как это предотвратить?

Question

Обнюхивать и подделывать запросы и ответы веб-сайтов, как это предотвратить?

Я работаю над безопасностью и другими вещами о моих веб-сайтах.
в моей стране онлайн-платежи работают как PayPal.
означает, что вы должны передать в банк некоторые параметры, такие как Amount,MerchantID,ReturnURL,ResNum(OrderID) по почтовому методу, и банк передаст вам некоторые параметры, такие как MID,Status,ResNum после оплаты.
во время этих запросов и ответов кто-то может использовать приведенное ниже программное обеспечение для прослушивания и фальсификации:
http://www.fiddler2.com/fiddler2/
пожалуйста, посмотрите это видео:
http://www.fiddler2.com/fiddler/help/video/
Я проверяю его, и он также работает на https с помощью сертификата.
Вот это да...

как я могу предотвратить это нюхание и подделку?
На банковском сайте есть функция VerifyTransaction, которая вызывается на стороне продавца после оплаты, и эта функция возвращает сумму.
эта функция находится на веб-сервисе на стороне банка.
главный вопрос:
может кто-нибудь понюхать и взломать веб-сервис между банком и продавцом?
значит, может ли скрипач сделать тот или иной инструмент?
если да, то как мы можем предотвратить этот анализ и фальсификацию (веб-сервисы)?

очень ценю за внимание

1

c# asp.net web-services sniffing tampering

Источник

user268588 08 май '12 в 08:12

1 ответ

Решение

Другие вопросы по тегам c# asp.net web-services sniffing tampering

user54499 08 май '12 в 08:45 2012-05-08 08:45 · Accepted Answer · 2012-05-08 08:45

Fiddler работает на том же клиенте, на котором работает веб-браузер, и находится под управлением одного и того же пользователя, поэтому он не может сделать ничего, что вы не могли бы сделать только с помощью браузера (но, возможно, гораздо больше усилий).

Никогда не гарантируется, что данные, поступающие от клиентов на ваш сервер, были отправлены с помощью HTML/JavaScript/ и т. Д. что ты им служил. Вот почему вы никогда не должны доверять пользовательскому вводу, например, всегда проверяйте данные на стороне сервера (и только дополнительно на стороне клиента для повышения удобства использования). И именно поэтому веб-сервис звонит между банком и продавцом, чтобы убедиться, что детали транзакции верны.

Подделка и перехват трафика между продавцом-сервером и банком-сервером может быть предотвращен путем правильной настройки TLS.