1

私は自分の Web サイトに関するセキュリティやその他の作業を行っています。
私の国では、オンライン決済はペイパルのように機能します。
Amount、MerchantID、ReturnURL、ResNum(OrderID) などのパラメータを銀行に郵送する必要があることを意味し、銀行は支払い後に MID、Status、ResNum などのパラメータを渡します。
この要求と応答の間に、だれかが次のソフトウェアを使用して盗聴と改ざんを行うことができます:
http://www.fiddler2.com/fiddler2/
このビデオをご覧ください:
http://www.fiddler2.com/fiddler/help/video/
iテストすると、証明書を使用して https でも動作します。
おお...

  1. このスニッフィングと改ざんを防ぐにはどうすればよいですか?
    銀行サイトには、支払い後に売り手側で呼び出される VerifyTransaction という名前の関数があり、この関数は金額を返します。
    この機能は、銀行側の Web サービスにあります。
    主な質問は次のとおりです。
  2. 誰かが銀行と販売者の間の Web サービスを傍受して改ざんすることはできますか?
    フィドラーがそれまたは他のツールを実行できることを意味しますか?
    はいの場合、このスニッフィングと改ざん (Web サービス) をどのように防ぐことができますか?

注目してくれて本当にありがとう

4

1 に答える 1

3

Fiddlerは、Webブラウザーが実行されているのと同じクライアントで実行されており、両方とも同じユーザーの制御下にあるため、ブラウザーだけでは実行できないことは何もできません(ただし、はるかに多くの労力が必要です)。

クライアントからサーバーに送信されるデータがHTML/JavaScript/etcによって送信されたという保証はありません。あなたが彼らに仕えたこと。そのため、ユーザー入力を信頼してはいけません。たとえば、常にサーバー側でデータ検証を行います(さらに、使いやすさを向上させるためにクライアント側でのみデータ検証を行います)。そして、それが、取引の詳細が正しいことを確認するために、銀行と売り手の間でWebサービスを呼び出す理由です。

販売者サーバーと銀行サーバー間のトラフィックの改ざんや盗聴は、適切なTLS設定によって防ぐことができます。

于 2012-05-08T08:45:32.860 に答える