client side
Bypass front-end restrictions
用户对 Web 应用程序的前端有很大程度的控制权。 它们可以更改 HTML 代码,有时也可以更改脚本。这就是为什么 需要特定输入格式的应用也应在服务器端进行验证,而不是只在前端做限制。
0x02
先提交请求,burpsuite拦截后,修改每个字段的值,发送请求即可。
0x03
burp抓包 绕过前端正则即可
client side filtering
只向客户发送他们应该发送的信息始终是一种很好的做法 以访问。在本课中,向客户端发送了太多信息,从而产生了 严重的访问控制问题
0x03
随便输入一个code,单击提交,发现调用了一个接口来校验这个code对不对,而直接请求这个接口,返回了所有code。
HTML tampering
0x02
抓包,修改数量后提交,同样价格买了10台。
在这个简单示例中,价格是在客户端计算并发送到服务器的。服务器 接受给定的输入,并且没有再次计算价格。在这种情况下,缓解措施之一是查找 数据库中电视的价格,然后再次计算总价。
在实际应用程序中,永远不应依赖客户端验证。验证所有输入非常重要 由客户端发送。永远记住:永远不要相信客户端发送的输入。
引用
https://cheatsheetseries.owasp.org/cheatsheets/Input_Validation_Cheat_Sheet.html