webgoat-client side客户端问题

client side

Bypass front-end restrictions

用户对 Web 应用程序的前端有很大程度的控制权。 它们可以更改 HTML 代码，有时也可以更改脚本。这就是为什么 需要特定输入格式的应用也应在服务器端进行验证，而不是只在前端做限制。

0x02

先提交请求，burpsuite拦截后，修改每个字段的值，发送请求即可。

0x03

burp抓包 绕过前端正则即可

client side filtering

只向客户发送他们应该发送的信息始终是一种很好的做法 以访问。在本课中，向客户端发送了太多信息，从而产生了 严重的访问控制问题

0x03

随便输入一个code，单击提交，发现调用了一个接口来校验这个code对不对，而直接请求这个接口，返回了所有code。

HTML tampering

0x02

抓包，修改数量后提交，同样价格买了10台。

在这个简单示例中，价格是在客户端计算并发送到服务器的。服务器 接受给定的输入，并且没有再次计算价格。在这种情况下，缓解措施之一是查找 数据库中电视的价格，然后再次计算总价。

在实际应用程序中，永远不应依赖客户端验证。验证所有输入非常重要 由客户端发送。永远记住：永远不要相信客户端发送的输入。

引用
https://cheatsheetseries.owasp.org/cheatsheets/Input_Validation_Cheat_Sheet.html