c# - 我如何防御请求 header 更改？

Question

我不确定它叫什么，但发生的是我的 POST 方法请求可以被像(burp 套件)这样的工具捕获并将 POST 更改为 GET。

之后该过程仍会继续，但现在它会在 URL 中显示参数及其值。

如何抵御这种攻击？

该网站使用 ASP.NET C#。

Answer 1

Burp 套件是具有注入(inject)/操作功能的“中间人”(MITM) 代理。如果您的站点位于 http(而非 https)上，那么是的:您完全受制于流量经过的每个中介机构。 立即更改您的网站以使用带有有效证书的 https。

要在 https 上运行，您需要故意破坏您的机器，installing a dodgy root certificate authority它将为它想要 MITM 的站点颁发假证书。这只会通过您浏览器的安全系统因为您损坏了您的机器。

从服务器的角度来看，依赖于已被破坏的客户端的攻击不是有趣的攻击。您所能做的就是保护完整 客户。通过使用 https 并禁用 http(非 TLS)。如果您期望 POST，您可以执行诸如拒绝 GET 之类的操作 - 但这不会改变 GET 已经发生的事实。但请注意:

• MITM 代理已经可以读取 POST 变量而无需将它们更改为 GET:它完全控制数据
• MITM 代理和您的服务器之间的其他中介无法读取数据，无论它是 GET 还是 POST，只要它是 https(这就是为什么您需要禁用 http，不仅仅是启用 https)
• 您在这里使用 GET 与 POST 唯一改变的是出现在您自己的服务器日志中的内容...并不重要此时您如何响应请求:它已经被记录了，即使你返回 404 或 500 或其他什么