其實就是在應用程式的設計和實作中出現的小小錯誤,導致有心人士能夠引導程式進行不正常的運作。這通常是因為開發者沒有想到那些特殊的情境,或者是錯誤地估計了用戶的行為。
有一個錯誤認知,那就是認為使用者只會透過提供的網頁介面和應用程式互動。假設,客戶端的驗證會阻止使用者提供惡意的輸入。但是,攻擊者其實可以很容易地使用像Burp Proxy這樣的工具,在資料由瀏覽器發送但在傳送到伺服器端邏輯之前,就篡改這些資料。這基本上使得客戶端的控制完全失效。
如果接受資料時,不進行適當的完整性檢查和伺服器端驗證,攻擊者就可以很輕易地造成各種損害。他們能做到的程度,完全取決於功能以及它如何處理可控制的資料。在適當的情境下,這種缺陷可能對業務相關的功能和網站的安全都帶來毀滅性的後果。
打開repeater修改價錢看看
productId=1&redir=PRODUCT&quantity=1&price=1300
成功被我們修改啦
iThome鐵人賽
看影片追技術