0

在阅读The Web Application Hacker's Handbook时,我尝试在自己的网站(ASP.NET MVC3)上做一个小测试。

我有一个模型,它包含两个字段,第一个字段是禁用的下拉列表。第二个是启用的文本字段。第一个字段从 View.chtml 中禁用并 new {disabled="disabled"}作为参数添加。

这是发生在我身上的事情,我将Burp Suite工具作为代理运行并捕获了响应。在响应中,我disabled="disabled"从 HTML 中删除了属性,然后将响应转发给浏览器。Oviuosly,该页面现在有两个启用的字段。

问题是如何使用Burp Suite等工具防止篡改字段?

4

1 回答 1

1

你不能。就此而言,您无法确定您在控制器中收到的回发是您在浏览器中查看的结果。使用某些脚本发布您想要的任何内容很容易,而且黑客经常这样做。

底线是。永远不要相信输入并始终验证它是允许的。

于 2012-03-25T17:01:40.523 回答