Temperado de verbos HTTP utilizando las posibilidades de ataque MITM y prevención en la api de descanso

Navega tus respuestas
0

El temperado de verbos HTTP utilizando las posibilidades de ataque MITM y la prevención en la api de descanso.

Si la URL de una aplicación depende solo del método http para determinar su acción, ¿cómo podemos reducir el impacto del temple por alguien que usa las técnicas MITM?

Por ejemplo, GET / xyz / muestra la página de mostrar de la entidad al solicitante mientras BORRAR xyz / puede eliminar la página. La preocupación es que, si un usuario administrador solicita una página de presentación y alguien en el medio cambia el método para eliminar, la página se eliminará.

Ambas solicitudes necesitan el mismo token de autenticación para que el atacante, sentado en el medio, solo tenga que cambiar el método y la entidad se elimine.

¿Cómo podemos reducir las posibilidades de tales escenarios? ¿Será suficiente un mensaje de confirmación o deberían aplicarse otras medidas?

    
pregunta Sum 27.06.2017 - 10:16
fuente

1 respuesta

4

Si le teme a un hombre en el ataque central, debe protegerse contra él usando HTTPS en lugar de HTTP. HTTPS está diseñado exactamente para proteger la transferencia de datos contra modificaciones por parte de un hombre del medio.

En su lugar, usar algún tipo de mensaje de confirmación simple no ayudará, ya que un atacante central también puede responder a este mensaje o cambiar la respuesta presentada al cliente. Si bien es probable que uno piense en un sistema más complejo de mensajes firmados para tratar esto correctamente, implementar esto por sí mismo es mucho más difícil de hacer bien que solo habilitar HTTPS. Por lo tanto, el uso de HTTPS debería ser la forma preferida de protegerse contra MITM.

    
respondido por el Steffen Ullrich 27.06.2017 - 10:23
fuente

Lea otras preguntas en las etiquetas

¿Por qué los piratas informáticos pueden entrar en la red utilizando la tunelización? [cerrado] ¿Hay algún servicio externo que pueda detectar ransomware?