gpt4 book ai didi

php - URL 中的随机字符串对 "Man in the Middle Attack"有帮助吗?

转载 作者:太空宇宙 更新时间:2023-11-03 13:10:35 25 4
gpt4 key购买 nike

场景如下:

在每个非购物车页面上都会生成一个新的 md5(rand()) session 变量。然后将此变量插入到购物车链接的 url 中。单击购物车链接将是用户从 http 转移到 https 的点,因此我知道这是一个重要的交易安全,以防止中间人将自己注入(inject)服务器和用户之间。

为了访问购物车,当前 session 变量必须匹配 url 中的字符串(例如“/shopping_car_url/{random_string}/”),否则将发送 404 错误。

  1. 只要 session 不受损害,这是否应该有效?
  2. 使用 POST 变量(或在 session 和帖子中使用相同或不同的随机字符串)是否同样或更有效(或无效)?
  3. 如果这有效,那么在其余的购物车编辑/结帐流程中执行相同的操作是否有任何好处,或者这是否毫无意义,因为此时用户已经连接到 SSL?

最佳答案

你在这里试图保护自己免受的是CSRF (跨站请求伪造)而不是 MITM。

一旦您切换到 https,MITM 攻击几乎是不可能的,并且将商品添加到购物车通常不需要 CSRF 保护(与支付操作本身不同)。请务必阅读 XSS & CSRF: Practical explotation of post-authentication vulnerabilities .

但是,如果恶意人员在您切换到 https 之前设法将自己置于用户和您的网站之间,他们也可以重写您的商店链接,但不使用 https;然后由您的用户对地址栏中的锁定图标保持警惕。

关于php - URL 中的随机字符串对 "Man in the Middle Attack"有帮助吗?,我们在Stack Overflow上找到一个类似的问题: https://stackoverflow.com/questions/14310216/

25 4 0
Copyright 2021 - 2024 cfsdn All Rights Reserved 蜀ICP备2022000587号
广告合作:1813099741@qq.com 6ren.com