参数篡改(Parameter Tampering)
主题:
1.绕过HTML字段限制
客户端验证不应该被认为是一种安全的参数验证方法。这种验证方式只能帮那些不知道所需输入的用户缩短服务器处理时间。
攻击者可以用各种方法轻易的绕过这种机制。任何客户端验证都应该复制到服务器端。这将大大减少不安全的参数在应用程序中使用的可能性。
课程要求:每个输入框中有不同的输入要求,要绕过客户端验证机制破坏这些规则,输入不允许输入的字符。
2. 利用隐藏字段
开发人员在加载信息的页面上使用隐藏字段来跟踪、登录、定价等。虽然这是一种方便且易于开发的机制,他们往往不验证从隐藏字段收到的信息。
课程目的:了解如何找到和修改隐藏字段以便宜的价格购买产品。
3.利用未检查的E‐mail
验证所有的输入信息总是不错的做法。多数网站都允许一个非验证的用户给“朋友”发送e-mail。对垃圾邮件发送者来说,这是一个绝佳的机制,可以利用
公司的邮件服务器来发送电子邮件。
4. 绕过客户端JavaScript校验
注:
本文参考:《WEB安全测试》、《WebGoat v2.2技术文档》、《OWASP Testing Guide v3.0》。