поиск и подделка запросов и ответов веб-сайтов, как предотвратить?

я работаю над безопасностью и другими вещами, связанными с моими веб-сайтами.
в моей стране онлайн-платежи работают как PayPal.
означает, что вы должны передать некоторые параметры, такие как Amount, MerchantID, ReturnURL, ResNum (OrderID) методом отправки, в банк и банк передадут вам некоторые параметры, такие как MID, Status, ResNum, после оплаты.
во время этих запросов и ответов кто-то может использовать программное обеспечение, указанное ниже, для обнаружения и подделки:
http://www.fiddler2.com/fiddler2/
посмотрите это видео:
http://www.fiddler2.com/fiddler/help/video/
я тестирую, и он тоже работает на https с помощью сертификата.
вау ...

  1. как я могу предотвратить это обнюхивание и вмешательство?
    на сайте банка есть функция VerifyTransaction, которая вызывается на стороне продавца после оплаты, и эта функция возвращает сумму.
    эта функция находится в веб-сервисе на стороне банка. < br> главный вопрос:
  2. может ли кто-нибудь обнюхивать и вмешиваться в веб-сервисы между банком и продавцом?
    означает, может ли скрипач сделать тот или иной инструмент?
    если да, как мы можем предотвратить это обнюхивание и вмешательство (веб-сервисы)?

очень признателен за внимание


c# asp.net web-services sniffing tampering
person SilverLight    schedule 08.05.2012    source источник
comment
возможный дубликат Как предотвратить HTTPS man атака посередине со стороны сервера?   -  person Steve    schedule 08.05.2012
comment
привет, я так не думаю, главный вопрос о веб-сервисах.   -  person SilverLight    schedule 08.05.2012

Ответы (1)


arrow_upward
3
arrow_downward

Fiddler работает на том же клиенте, на котором работает веб-браузер, и оба находятся под управлением одного и того же пользователя, поэтому он не может делать то, что вы не могли бы сделать с одним браузером (но, возможно, гораздо больше усилий).

Нет гарантии, что данные, поступающие от клиентов на ваш сервер, были отправлены с помощью HTML / JavaScript / и т. Д. что вы им служили. Вот почему вы никогда не должны доверять пользовательскому вводу, например всегда выполняйте проверку данных на стороне сервера (и только дополнительно на стороне клиента для повышения удобства использования). И это причина вызовов веб-сервисов между банком и продавцом, чтобы убедиться, что данные транзакции верны.

Взлом и перехват трафика между сервером продавца и сервером банка можно предотвратить с помощью правильной настройки TLS.

person David Tischler    schedule 08.05.2012
comment
привет, спасибо за ответ, не могли бы вы дать некоторую информацию о настройке TLS. насчет обнюхивания и подделки веб-сервисов, я думаю, должен быть способ. обмен данными в формате xml между серверами буксировки и нашей системой как человек посередине. что вы об этом думаете? - person SilverLight; 08.05.2012