在我们的应用程序中,我们正在对DAO层进行DWR调用以执行一些数据库操作。
示例调用:POST /myapplication/dwr/call/plaincall/UserManager.updateUser.dwr HTTP / 1.1
httpSessionId = CAFFFCDF37009C2424049FF58FAE68F4.node1 scriptSessionId = 94FE7BF29DCB9C6D5078090225416EE7269 C 0 = SCRIPTNAME的UserManager C 0 = methodName中UpdateUser两个 C0-ID = 0 C 0 =参数0号:10231867 C0-E1 =编号:10231867 C0-E2 =字符串:wf001 C0-E3 =字符串:001 C0-E4 =字符串:001 C0-E5 =字符串:001 C0-E6 =字符串:001 C0-E7 =字符串: C0-E8 = NULL:NULL。 c0-param1 = Object_Object:{userID:reference:c0-e1,socialTitle:reference:c0-e2,> firstName:reference:c0-e3,lastName:reference:c0-e4,userName:reference:c0-e5,>密码:reference:c0-e6,email:reference:c0-e7,metadata:reference:c0-e8} batchId = 0
此调用使用burpsute拦截,通过更改参数值,他们可以通过重复请求添加多个用户。
支持文件是DWR.jar,DWR.xml和engine.js(调用DAO)。
由于我们不知道如何在DWR中构建和提交请求。我是否有可能限制黑客没有更改值或重新提交值。