我知道这是一个广泛的问题,但我认为我在这里遗漏了一些东西。攻击者是否可以通过简单地使用检查元素并编辑 javascript 和 html 来对站点造成损坏?例如,对于某人来说,更改输入的最大长度并上传太多数据可能会导致服务器崩溃,这似乎太容易了,我知道在服务器上检查数据总是很好的做法,但它仍然看起来太容易了。或者另一个更具潜在危险的例子是,如果攻击者可以扰乱$.ajax调用并向服务器发送不良信息。这是我应该更加担心的事情还是攻击者浏览器上的更改只是暂时的?
这些更改在个人用户的浏览器上是暂时的。
但是,这些更改将允许该用户以他们选择的方式与您的后端进行交互。这是网站受到攻击的一种方式。
标准规则是永远不要信任来自用户/浏览器的输入。不要相信隐藏字段的值,不要相信它们没有改变长度,不要相信它们没有添加新值(例如下拉列表),不要相信在 Javascript 中完成的任何验证, ETC。
一些例子:
- 过去的一些购物网站会将要支付的金额作为隐藏字段包含在表单中。更改此值会更改从信用卡收取的金额,同时仍批准交易。
- 具有 Javascript 验证规则的网站可以通过直接发布到后端服务来跳过,从而使自己容易受到 SQL 和 HTML/脚本注入攻击。
- 下拉菜单、单选按钮和复选框输入,可以将意外值添加到表单中。
本文内容由网友自发贡献,版权归原作者所有,本站不承担相应法律责任。如您发现有涉嫌抄袭侵权的内容,请联系:hwhale#tublm.com(使用前将#替换为@)
