webgoat-client side客户端问题

client side

Bypass front-end restrictions

用户对 Web 应用程序的前端有很大程度的控制权。 它们可以更改 HTML 代码,有时也可以更改脚本。这就是为什么 需要特定输入格式的应用也应在服务器端进行验证,而不是只在前端做限制。

0x02

先提交请求,burpsuite拦截后,修改每个字段的值,发送请求即可。
在这里插入图片描述

0x03

burp抓包 绕过前端正则即可
在这里插入图片描述

client side filtering

只向客户发送他们应该发送的信息始终是一种很好的做法 以访问。在本课中,向客户端发送了太多信息,从而产生了 严重的访问控制问题

0x03

随便输入一个code,单击提交,发现调用了一个接口来校验这个code对不对,而直接请求这个接口,返回了所有code。
在这里插入图片描述
在这里插入图片描述

HTML tampering

0x02

抓包,修改数量后提交,同样价格买了10台。
在这里插入图片描述
在这个简单示例中,价格是在客户端计算并发送到服务器的。服务器 接受给定的输入,并且没有再次计算价格。在这种情况下,缓解措施之一是查找 数据库中电视的价格,然后再次计算总价。

在实际应用程序中,永远不应依赖客户端验证。验证所有输入非常重要 由客户端发送。永远记住:永远不要相信客户端发送的输入。

引用
https://cheatsheetseries.owasp.org/cheatsheets/Input_Validation_Cheat_Sheet.html

你可能感兴趣的:(安全测试,安全)