¿Cómo protegerse contra la intercepción de solicitudes y la manipulación de parámetros? [duplicar]

Navega tus respuestas
2

Mi problema es que hice una aplicación y estoy haciendo solicitudes de PHP. Acabo de darme cuenta de que puedes olfatear todo en Android con "Captura de paquetes".

¿Cómo puedo hacer que mi aplicación sea más segura? Pensé en trabajar con sumas de comprobación. o agregue algo como una clave secreta que cambia cada vez y descifro esta clave en mi servidor de alguna manera.

¿Alguno de ustedes tiene una idea de cómo protegerse contra el olfateo o cómo puedo hacer que mi solicitud sea más segura? (Estoy usando autenticación básica ahora, pero esto no es bueno)

Soy nuevo en seguridad.

Para que quede más claro: el propio usuario está olfateando la solicitud. Es un juego y el usuario puede oler todo (UserID, Score, etc.) y enviar una solicitud con estos parámetros y establecer la puntuación en 99999

    
pregunta Godlike 27.04.2016 - 23:02
fuente

2 respuestas

3

No puede evitar que el usuario intercepte el tráfico que genera su aplicación. Existen las siguientes alternativas que puede hacer para que su aplicación funcione correctamente: -

1) Conexión segura del usuario (SSL / TLS). Aunque los usuarios en la misma red podrán ver el tráfico de red generado, pero no podrán descifrar ningún significado, ya que está cifrado.

2) Para deshabilitar la manipulación de parámetros en su aplicación, realice validaciones estrictas y sólidas del lado del servidor. Utilice mapas de referencia indirecta para no permitir referencias directas inseguras a nuestros objetos. p.ej. En lugar de UserId como parámetro, establezca cualquier cadena aleatoria "adasdfasdfasdf" como parámetro, que representará UserId y hará que este parámetro se genere aleatoriamente cada vez que el usuario solicite la página. Esto te ayudará a evitar la manipulación de parámetros en gran medida.

Puede obtener más información al respecto en enlace

    
respondido por el Mangu Singh Rajpurohit 28.04.2016 - 05:45
fuente
-1

Parece que estás preguntando sobre - CSRF (Cross Site Request Forge). Esta es una vulnerabilidad en la que el servidor no puede diferenciar si la solicitud fue originada por el propio usuario autenticado o una solicitud falsificada. puedes implementar un token seguro

Para evitar la detección de paquetes en la red, implemente HTTPS (TLS 1.2)

    
respondido por el user1493834 28.04.2016 - 05:47
fuente

Lea otras preguntas en las etiquetas

¿CUALQUIER aplicación web requiere el dominio de políticas de dominio cruzado? ¿Existen prácticas estándar para proteger contra el ingreso de enlaces maliciosos en forma pública?