リクエストのインターセプトとパラメーターの改ざんから保護する方法は?
私の問題は、私がアプリを作成し、PHPリクエストを作成していることです。Androidで「Packet Capture」を使用してすべてを嗅ぐことができることに気づきました。
アプリをより安全にするにはどうすればよいですか?チェックサムを使用するか、毎回変化する秘密鍵のようなものを追加することを考え、なんとかしてサーバーでこの鍵を復号化しました。
傍受を防ぐ方法や、リクエストをより安全にする方法を知っている人はいますか? (私は今、基本認証を使用していますが、これは良くありません)
私はセキュリティの新人です。
より明確にするために:ユーザー自身がリクエストを傍受している。これはゲームであり、ユーザーはすべて(UserID、Scoreなど)を傍受し、このパラメーターを使用してリクエストを送信し、スコアを99999に設定できます。
アプリケーションが生成するトラフィックをユーザーが傍受できないようにすることはできません。アプリケーションを正しく機能させるために実行できる代替方法は次のとおりです。
1)ユーザー保護接続(SSL/TLS)。同じネットワーク上のユーザーは、生成されたネットワークトラフィックを表示できますが、暗号化されているため、そこから意味を理解することはできません。
2)アプリケーションでのパラメーターの改ざんを禁止するには、厳密で堅牢なサーバー側の検証を実行します。間接参照マップを使用して、オブジェクトへの安全でない直接参照を禁止します。例えば。パラメータとしてUserIdの代わりに、任意の文字列「adasdfasdfasdf」をパラメータとして設定します。これは、UserIdを表し、このパラメータが毎回ランダムに生成されるようにして、ユーザーがページをリクエストします。これは、パラメーターの改ざんを大幅に回避するのに役立ちます。
詳細は https://www.owasp.org/index.php/ESAPI_Specification#AccessReferenceMap.3CKey.3E で入手できます。