我有一个大量使用JSON服务的ASP.NET网站。基本结构是:jQuery插件 - > JSON服务 - >服务器端BAL。SSL为Web服务提供什么保护?
但是,这种解决方案显然是不安全的,因为恶意用户可以运行作为小提琴手这样的工具和捕获JSON他们的机器上调用,然后重播这些JSON调用改变参数等
如果我把Web服务文件夹放在SSL下,它会给我什么保护?我试图把整个站点放在SSL下,但仍然运行Fiddler,我可以看到明文消息转到HTTPS协议,并且我可以使用相同或更改的参数来重播来自Fiddler的消息。
我明显对SSL没有多少了解,需要一些帮助。听起来像我的SSL设置不正确,或者能够通过Fiddler看到SSL流量?如果是后者,SSL在我的场景中提供了什么保护?
谢谢。
恩,你有没有考虑在*服务器*上验证数据,而不是仅仅在客户端上? – 2013-03-14 13:48:39
您可以将Fiddler配置为解码SSL(实质上,它通过摆弄证书执行Man-in-the-the-middle攻击)。你的问题不是提琴手允许修改参数。你的问题是你的网络服务没有对输入参数进行充分的检查和验证。 – 2013-03-14 13:50:34
我的网络服务执行检查和验证,但这是我目前唯一的“防线”。任何人都可以看到哪些参数被发送到服务器并改变请求会扩大一些不可预见的攻击的可能性。我冲洗希望隐藏请求体,所以至少发现Web服务的结构更加困难。 – user1044169 2013-03-14 13:54:37