तो इसका मतलब यह है कि मैं हो सकता है कि एक attaker 99% से आत्मविश्वास दोनों क्वेरी स्ट्रिंग & पोस्ट शरीर अनुरोध संशोधित करने में सक्षम नहीं होगा?
एसएसएल केवल एन्क्रिप्ट करता है और किसी तीसरे पक्ष से जानकारी छिपाएं। हालांकि हैकर्स का अनुरोध है कि वह जो भी चाहें वह कर सकता है, भले ही उन्हें एन्क्रिप्टेड भेजा गया हो। जैसा कि मैंने कहा था कि एसएसएल केवल किसी तीसरे पक्ष के खिलाफ सुरक्षा करता है, कुछ और नहीं।
सभी वेब विकास में एक सुनहरा नियम है, कभी भी इनपुट डेटा पर विश्वास न करें, एन्क्रिप्टेड या नहीं।
भले ही हमलावर को मेरी वेबसाइट पर उपयोगकर्ता नाम और पासवर्ड का उपयोग करके प्रमाणीकृत किया गया हो।
हैकर भेज सकते हैं वह जो कुछ भी सर्वर से मनचाहे ढंग, उनके अनुरोध को एन्क्रिप्टेड किया जाएगा और एक तीसरे पक्ष के खिलाफ की रक्षा की है, लेकिन वह सिर्फ वह जो कुछ भी चाहते हैं भेजने के लिए और अपने कोड, कर सकते हैं अगर आप की लाइन folow नहीं है इनपुट डेटा पर भरोसा न करें, वह आपके सर्वर में उल्लंघन कर सकता है हाँ।
तो एक बार फिर एसएसएल केवल एक तीसरी पार्टी के विरुद्ध सुरक्षा (और यहां तक कि कुछ समय नहीं)
के संभावित डुप्लिकेट (http [HTTPS के साथ, यूआरएल और अनुरोध हेडर संरक्षित के रूप में अनुरोध शरीर है कर रहे हैं?]: //stackoverflow.com/questions/8858102/with-https-are-the-url-and-the-request-headers- संरक्षित-as-the-request-body-is) – Bruno