Kann ein Benutzer die Seite Bearbeiten Quelle Bearbeiten hidden-Feld Werte und buchen Sie die form mit diesen Werten?

Auf verschiedenen Websites, die Sie Häufig sehen, im Quelltext der Seite einige versteckte Werte, auf die Formen (die in der Regel halten eine Art von Konstante, Schlüssel, ID, etc). So etwas wie:

<input type="hidden" name="_submit_check" value="1">

Ich würde davon ausgehen, diese website ist doppelte überprüfung der form gepostet wurde, indem Sie prüfen _submit_checks Wert für 1. Wäre es möglich, Bearbeiten Sie die Quelle und ändern Sie Sie auf 0, dann die Daten posten und so die form keine Beiträge server-Seite?

Diesem Beispiel ist das nicht sehr gefährlich für den server, da es einfach ignorieren die Anfrage, aber gibt es irgendwelche möglichen Sicherheits-Risiken mit der Verwendung von hidden-Felder (andere als die offensichtliche: Sie kann noch Lesen den Wert in der Quelle, bin ich mehr besorgt, wenn Sie es Bearbeiten können).

  • In kurzen, ja. Dies ist genau der Grund, warum Sie sollten immer überprüfen die Benutzereingaben.
  • ... auf der server-Seite (finishing @MikeB ' s Kommentar).
InformationsquelleAutor Zeritor | 2012-09-13
  1. 11

    Ja, ein Benutzer kann kopieren Sie Ihre html-Formular, die Werte ändern und dann post an Ihren server. Deshalb ist es immer wichtig, die Validierung und Bereinigung von Benutzereingaben einschließlich des versteckten input-Werte, die auf der server-Seite und nicht nur die client-Seite(also javascript).

    • Vielen Dank für die schnelle Antwort. Mehrere Personen Gaben Antworten, aber wie es aussieht, waren die ersten.
    • Kannst du bitte erklären Sie mir, wie Benutzer den Wert ändern können, der hidden-Feld manuell mit F12 und senden Sie das Formular mit dem geänderten Wert. Ich habe versucht, den Wert ändern, aber beim klicken auf den button wird der Wert wieder Veränderungen an den Standard.
    • Ohne zu sehen, Ihre spezifische form ist es schwer zu sagen. Es gibt eine chance, dass die form, die Sie versuchen zu ändern, hat ein Skript, um die Werte zu überprüfen, bevor Sie Einreichen und korrigieren Sie die versteckten Felder. Wenn Sie eine ausführlichere Antwort senden Sie bitte Ihre eigene Frage.
    InformationsquelleAutor Jrod
  2. 3

    Ja, können Sie es Bearbeiten, und heute, wenn Browser wie Chrome und Firefox haben integrierte web-Entwicklungs-tools ist einfacher zu ändern die Werte. Das ist, warum Sie sollten nicht Vertrauen auf die empfangenen Daten vom Benutzer.

    • Ich wusste nie das Vertrauen von Benutzereingaben, ich war nur Fragen, wenn Sie könnten, ignorieren versteckte Felder, aber es scheint, dass nichts sicher ist!
    • Kannst du bitte erklären Sie mir, wie Benutzer den Wert ändern können, der hidden-Feld manuell mit F12 und senden Sie das Formular mit dem geänderten Wert. Ich habe versucht, den Wert ändern, aber beim klicken auf den button wird der Wert wieder Veränderungen an den Standard.
    • Wenn nicht, dann wird ein Benutzer-download-Seite, Bearbeiten Sie mit einem text-editor, öffnen Sie es im browser (in der geänderten Seite) und senden Sie das Formular. O manipulieren von Netzwerk-Anfrage an den browser dev tools.
    InformationsquelleAutor Skatox
  3. 2

    Ja, Sie können. Wenn du mit Firebug/IE-Developer-Tools/etc, die Sie Bearbeiten können, etwas auf die Seite und schicken Sie das Formular mit diesen Daten. Sie können auch ausführen, js und änderungen vornehmen, auf diese Weise. Dies ist einer der Hauptgründe, warum Sie wirklich, wirklich brauchen, um überprüft alle Eingänge auf der server-Seite, bevor Sie etwas mit Ihnen.

    • Kannst du bitte erklären Sie mir, wie Benutzer den Wert ändern können, der hidden-Feld manuell mit F12 und senden Sie das Formular mit dem geänderten Wert. Ich habe versucht, den Wert ändern, aber beim klicken auf den button wird der Wert wieder Veränderungen an den Standard.
    InformationsquelleAutor scrappedcola
  4. 1

    Ja, das ist möglich. Mit modernen Browsern mit developer/debugging-tools integriert oder als Erweiterungen, die Sie nicht sogar brauchen, um das Formular zu speichern, um es zu Bearbeiten. Dies ist, warum Sie sollten nie das Vertrauen von Daten als eine form der Unterordnung und überprüfen und bereinigen Sie es.

    InformationsquelleAutor jmoerdyk
  5. 0

    Ja, es ist sehr einfach mit Entwickler-tools-plugin für Browser. Solche Werkzeuge werden verwendet, um die Menschen zu täuschen und Lügen auch, also jemand, der Erstellung einer landing page für eine Zwielichtige Reich Regelung vielleicht Bearbeiten Sie die zahlen auf Ihrem Paypal-Konto, dann nehmen Sie ein screenshot. Dies soll beweisen, dass Sie Reich sind.

    Einige von uns wissen es besser. Wir wissen alles muss bestätigt/validiert in der Welt des internet und akzeptieren Sie nichts zum Nennwert.

    Ich bin derzeit auf der Suche bei der Verhinderung der form von hacking in WordPress und beschleunigen die Entwicklung durch die Speicherung der Daten über ein Formular in die Datenbank. Dies geschieht on-the-fly. Alle Formen sind gebaut mit vielen Funktionen, die ich nicht HTML. Jedes sichtbare hat eine Validierung Methode, die in der Datenbank gespeichert ist. Während die Bearbeitung der Methode wird abgefragt und angewendet.

    Kurz gesagt könnte ein Benutzer Bearbeiten, versteckte Eingänge, die Sie mögen. Die Datenbank enthält eine Kopie von alles vorübergehend und der Prozesse verwendet.

    InformationsquelleAutor Ryan Bayne
Schreibe einen Kommentar