即使 https 也可以嗅探移动应用程序请求吗?

【问题标题】:Is it possible for a mobile app request to be sniffed even if https?即使 https 也可以嗅探移动应用程序请求吗?
【发布时间】:2018-01-15 08:19:54
【问题描述】:

我们正在开发一个混合移动应用程序,对于某些函数调用,有一个 url 调用。这是获取用户信息的示例请求

http://someurl.com/1234/account

其中:1234 - 是数据库中的用户 ID。

我们认为“中间人攻击”是可能的。移动应用程序调用的 url 可以被嗅探,然后黑客只需更改用户 id 的值,他就可以看到其他用户的信息。问题是 - 只需更改调用 https 的 url 就可以解决这个安全漏洞吗?

【问题讨论】:

标签: security csrf csrf-protection owasp man-in-the-middle


【解决方案1】:

不,不会。您正在基于未经身份验证的 URL 公开用户数据,未经授权的各方即使远离移动平台也可以访问修改后的 URL。

【讨论】:

  • 那么https保护请求免受什么攻击?
  • MITM 攻击,包括更改数据或静默窃听。
  • 这意味着整个请求也可以被嗅探?即使它在 POST 中?
  • 不,https 保护 URL 免受篡改以及 GET 和 POST 数据。这里有一个不同的问题,一个完全独立的请求(即不需要篡改)可能会访问随机用户的数据。秘密 URL 充其量只是简单的混淆,而不是真正的安全性。
  • 好吧,简而言之,https 只能防止请求被篡改,但不能防止它被看到(通过嗅探?)
猜你喜欢
  • 1970-01-01
  • 1970-01-01
  • 2011-06-12
  • 2012-10-16
  • 2016-05-28
  • 2013-11-27
  • 2020-06-18
  • 1970-01-01
  • 1970-01-01
相关资源
最近更新 更多
热门标签
Java Python linux javascript Mysql C# Docker 算法 前端 SpringBoot Redis Vue spring 设计模式 .net core .net kubernetes c++ 数据库 数据结构 大数据 js 机器学习 微服务 Android Go 程序员 面试 JVM ASP.net core 云原生 人工智能 后端 PHP git CSS golang k8s Nginx Django mybatis 深度学习 多线程 React 架构 devops 爬虫 云计算 Spring Boot LeetCode