添加安全问题,以便用户在超过最大尝试次数时可以重置密码。对于认证机制这样的隐藏字段是不是很难?
<input type="hidden" name="securityAnswered" value=true>
<input type="hidden" name="exceededAttempts" value=true>
用户可以从客户端进入并编辑这些隐藏字段吗?
答案 0 :(得分:4)
用户可以从客户端进入并编辑这些隐藏字段吗?
当然!客户端的任何内容都可以编辑。你无法阻止用户这样做。
您必须记住,客户端可以随时向服务器发布任何内容。
答案 1 :(得分:0)
是的,当然,任何人都可以通过点击ctrl+maj+i
答案 2 :(得分:0)
是的,渗透测试人员一直使用拦截代理(例如Burp或Zap)来执行此操作。
https://portswigger.net/burp/proxy.html https://www.owasp.org/index.php/OWASP_Zed_Attack_Proxy_Project
还有许多其他方法可以修改此类数据,包括浏览器中的开发人员工具。