Я знаком с SSL / TLS и его механизмом защиты данных, передаваемых по HTTP между браузером и веб-сервером. Одной из проблем, выявленных моей группой тестирования безопасности, является подделка запроса по SSL , когда они смогли изменить полезную нагрузку HTTP-запроса POST-запроса, используя атака "человек посередине", Браузер явно показывал предупреждение о действительности сертификата, и оно было проигнорировано.
По моему мнению, приложение не должно обрабатывать или исправлять такие сценарии фальсификации запросов, потому что SSL / TLS заботится об этом. Проверка на стороне сервера данных, которые соответствуют любой проверке на стороне клиента, должна быть достаточной для проверки правильности полезной нагрузки HTTP.
Так что мой вопрос в основном, чтобы подтвердить мое понимание об этом. Является ли фальсификация запросов с использованием атаки «человек посередине» по SSL допустимым сценарием тестирования безопасности? И если приложение выполняет какую-либо конкретную кодировку запроса для защиты от таких атак.