Detección de manipulación de datos de publicación [cerrado]

Navega tus respuestas
1

He estado estudiando un poco la seguridad sobre cómo hacer que mi servidor de descanso móvil sea seguro. Estoy viendo una aplicación móvil que usa HTTP simple.

He habilitado el punto de interrupción del proxy de Charles y edito los datos de la publicación antes de enviarlos a su servidor. Por ejemplo, cuando edito la "solicitud" de 

[{"func":"HeartBeat","time":1475481665} ]

a 

[{"func":"HeartBeat","time":1475481777} ]

Tengo una respuesta de "firma incorrecta". ¿Cómo supo su servidor que los datos de "solicitud" fueron manipulados en primer lugar?

Todo lo que sé es que la sesión es el usuario actual, la firma y la solicitud podrían estar conectadas de alguna manera. Creo que necesito generar una nueva firma al editar los datos de solicitud.

    
pregunta keithics 03.10.2016 - 10:49
fuente

1 respuesta

2

Una forma de garantizar la seguridad es que el cliente cree un Código de autenticación de mensaje para la solicitud y luego envíe el MAC junto con los datos. El servidor volverá a crear el MAC y luego lo validará contra lo que se envió.

Esto es probablemente lo que está sucediendo en su ejemplo con la "firma".

    
respondido por el Qwerky 03.10.2016 - 13:51
fuente

Lea otras preguntas en las etiquetas

Políticas para los administradores de contraseñas ¿Por qué la variable local no se sobrescribe debido al desbordamiento del búfer?