我有一个问题,如果使用 SSL 将加密查询字符串和包含字段值的 Post 请求正文?
如果答案是肯定的,
那么这是否意味着我可以有 99% 的信心,而不是攻击者将无法同时修改查询字符串和帖子正文请求?
BR
问问题
709 次
2 回答
2
那么这是否意味着我可以有 99% 的信心,而不是攻击者将无法同时修改查询字符串和帖子正文请求?
SSL 仅对第三方信息进行加密和隐藏。然而,黑客自己要求他可以对他们做任何他想做的事,即使他们是加密发送的。正如我所说,SSL 只保护第三方,而不是其他任何东西。
所有 Web 开发中的一条黄金法则是,永远不要信任输入数据,无论是否加密。
即使攻击者使用我的网站的用户名和密码进行了身份验证。
黑客可以将他认为合适的任何内容发送到服务器,他的请求将被加密并受到第三方保护,但他可以发送他想要的任何内容和您的代码,如果您不遵循从不信任输入数据的路线,他可能会侵入您的服务器是的。
所以 SSL ONLY 再次保护第三方(有时甚至不是)
于 2012-04-25T06:53:39.037 回答
0
如果您使用 SSL,那么可以,您可以确定攻击者将无法修改查询字符串或发布数据。SSL 向客户端验证服务器,以防止任何人成功冒充您的服务器。它还使用服务器的私有 X.509 密钥对来回发送的每条消息进行加密,这样任何中间人都无法破译它们。
于 2012-04-25T02:51:12.473 回答