假设安全测试人员使用代理(例如Fiddler)并使用管理员的凭据记录HTTPS请求-在重播整个请求(包括 session 和auth cookie)时,安全测试人员可以成功(重新)记录交易。声称这是CSRF漏洞的迹象。
恶意用户必须采取什么措施来拦截HTTPS请求并重播它?对于脚本小子,资金雄厚的军事黑客团队或时间旅行外星人技术来说,这是一项任务吗?记录用户的SSL session 并在票证过期之前重播它们真的很容易吗?
目前,应用程序中没有代码可对HTTP GET进行任何有趣的操作,因此AFAIK可以诱骗管理员单击链接或使用恶意URL加载图像。
最佳答案
HTTPS不可重播,握手序列中的第一个服务器响应包括服务器选择的随机数。
Fiddler所做的是充当代理,这意味着它拦截了您浏览器的请求,然后向服务器生成了相同的请求,这意味着它可以访问纯文本,也就是重放的文本。您的浏览器通过告诉您证书来自Fiddler-“DO_NOT_TRUST_FiddlerRoot”,让您知道了这一点,您必须同意该证书才能发送忽略证书不匹配的消息。
关于https - 重播针对HTTPS请求的攻击,我们在Stack Overflow上找到一个类似的问题: https://stackoverflow.com/questions/2769992/