通常看到脚本中实现的自定义客户端输入验证。客户端的控制通常很容易规避;可以在浏览器中的输入字段中输入一个良性值,用代理拦截验证的提交,并将数据修改为所需的值。本文详细介绍了此方法。
笔记:客户端的JavaScript例程以验证用户输入在Web应用程序中很常见,但不应得出结论,每个此类应用程序都是脆弱的。beplay体育能用吗仅当未在服务器上复制客户端验证时,该应用程序才能公开,即使这样,只有当精心设计的输入(规避客户端验证)可以使用该应用程序引起某些不良行为时。
访问您希望测试的Web应用程序的页面。beplay体育能用吗
在此示例中,我们使用“ Webgoat”培训工具的“旁路客户端JavaScript验证”页面。beplay体育能用吗
返回您的浏览器。
在浏览器的输入字段中输入良性值。
在此示例中,通过单击“提交”按钮,将请求提交到服务器。
Burp将捕获该请求。
在此示例中,我们使用“参数”选项卡来轻松识别和编辑请求中的适当字段。
使用“向前”按钮将请求发送到服务器。
在此示例中,我们能够绕过客户端JavaScript验证。
Web应beplay体育能用吗用程序已验证了服务器上的输入,并返回了每个字段的错误消息。