Обнаружение измененного веб-сайта Api

Question

Можно ли обнаружить, что HTTP-вызов или веб-api изменен между клиентом & сервером какого-либо злоумышленника? Несколько дней назад я просто анализировал сеть с помощью приложения «Hangout» iOS, используя burp, &, это просто поразило меня. Приложение & сервер может обнаружить, что я изменил первоначальный вызов. Приложение отображает сообщение об ошибке отправки сообщения, даже не получая ответа сервера. Я хочу построить нечто подобное в граале.

Answer 1

Одним из возможных способов реализации чего-либо подобного было бы «отпечаток пальца» каждого запроса путем хэширования его с известной солью. Затем сравните предоставленное значение хэша с хэшированным значением, вычисленным на сервере. Очевидно, отклонение запроса, если значения не совпадают (указывает, что запрос был изменен).

Проблема, с которой вы столкнулись, заключается в том, что приложение, в отличие от приложения iOS, поставляется в веб-браузере. Таким образом, любая обработка, которую вы делаете (хеширование запроса солью), будет легко читаемой и, следовательно, бесполезной.

Однако эта «отпечатка пальца» будет очень хорошо работать для связи между сервером и сервером через REST/HTTP API.