1

我正在研究有关我的网站的安全性和其他内容。
在我的国家,在线支付就像贝宝一样工作。
意思是你应该通过post方法将一些参数如Amount、MerchantID、ReturnURL、ResNum(OrderID)传递给银行,银行会在付款后将一些参数如MID、Status、ResNum传递给你。
在此请求和响应期间,有人可以使用以下软件嗅探和篡改:
http
://www.fiddler2.com/fiddler2/ 请观看此视频:
http
://www.fiddler2.com/fiddler/help/video/ i对其进行测试,它也可以使用证书在 https 上运行。
哇...

  1. 我怎样才能防止这种嗅探和篡改?
    银行网站中有一个名为 VerifyTransaction 的函数,它在付款后在卖方端调用,此函数返回金额。
    此功能位于银行端的 Web 服务上。
    主要问题是:
  2. 有人可以嗅探和篡改银行和卖家之间的网络服务吗?
    意思是提琴手可以做到这一点或其他工具吗?
    如果是,我们如何防止这种嗅探和篡改(Web 服务)?

非常感谢关注

4

1 回答 1

3

Fiddler 运行在 Web 浏览器运行的同一个客户端上,都在同一个用户的控制下,所以它不能做任何你不能用浏览器做的事情(但可能要付出更多的努力)。

永远不能保证从客户端到您的服务器的数据已经由 HTML/JavaScript/etc 发送。你为他们服务。这就是为什么你永远不应该信任用户输入的原因,例如,总是在服务器端进行数据验证(并且只在客户端进行额外的验证以提高可用性)。这就是银行和卖家之间调用网络服务的原因,以确保交易细节是正确的。

通过适当的 TLS 设置,可以防止篡改和嗅探卖方服务器和银行服务器之间的流量。

于 2012-05-08T08:45:32.860 回答