在阅读 Web应用程序黑客手册时,我尝试在自己的网站(ASP.NET MVC3)上进行小型测试。
我有一个包含两个字段的模型,第一个字段是已禁用下拉列表。
第二个是启用文本字段。
第一个字段从View.chtml中禁用并添加
new {disabled="disabled"}作为paratemer。
以下是发生在我身上的事情,我将 Burp Suite 工具作为代理运行,并将响应记录下来。
在响应中,我从HTML中删除了disabled="disabled"属性,然后将响应转发到浏览器。 Oviuosly,该页面现在有两个启用的字段。
问题是如何使用 Burp Suite 等工具防止篡改字段?
答案 0 :(得分:1)
你做不到。就此而言,您无法确定在控制器中收到的回复是您在浏览器中查看的结果。只需使用某些脚本发布您想要的任何内容都很容易,黑客经常会这样做。
底线是。永远不要相信输入并始终验证它是允许的。