web-dev-qa-db-ja.com

傍受からデータを防ぐ方法は?

私はウェブ開発者です。数日前、私はBurpを使用して、プロキシを設定することにより、ネットワーク経由でFacebookの公式アプリを傍受しました。データが暗号化されていることに気づきました。通信にJsonを使用してきましたが、Json文字列もどのようにエンコードできるのでしょうか。そのため、私は回避できます、Session HijackingおよびXSS

1
Panda

次の瞬間を見て、特定のタスクの要件に合うものを選択することをお勧めします。

  • 鍵の配布を行うPKI。 CA公開鍵とHTTPSに接続するためのクライアント鍵を使用して、アプリを事前シードします。アプリパッケージの整合性を可能な限り厳格に維持するようにしてください(チェックサムなど)。MicrosoftStoreの契約では、MSがすべてのデジタル署名を削除して結果に署名できるようにする部分を見てきました。このような手順で鍵が改ざんされる可能性があるため、注意してください。
  • ルーティングパターン検出を回避するためのTorまたはI2P。 whereアプリが接続するだけでなく、-how接続も動作します。つまり、ネットワーク接続フロー、アドレス一覧などです。アプリのトラフィックを適切に選択し、悪意のあるフィルターを介して迂回させることができます。
  • FreeNetおよびZeroNet(アプリの読み取り専用静的を公開する場合):コンテンツが署名されており、署名を検証できる場合-非集中的な方法でも配布されるため、トラフィックを「禁止」したり、「母性」に方向転換したりすることはできません。ノード」

これらの保護レベルを階層化すると、実際には、この安全なパイプを介してJSON通信をパススルーすることができます。他にもご不明な点がございましたら、お気軽にお問い合わせください。

1
Alexey Vesnin