本文探讨了客户端存储数据可能带来的访问控制绕过风险。通过使用TamperData监测工具,发现员工信息展示未经过服务器处理,说明所有信息存储于客户端。通过分析HTML代码可以实现未经授权的访问。
这个练习的目的在于认识到将数据存储于客户端时,对于访问控制绕过的可能性!
用Tamper Data监测browser和server间的数据包交换。当在下拉菜单中选中任意员工,网页就会自动在下方显示其资料,但是TamperData没有捕获到任何通信,这说明其员工及员工的信息的显示没有进过服务端处理,所以所以信息都应该在客户端。查看HTML代码,找到其储存信息的点,就可以进行任意的不被允许的访问!!
扫一扫
评论
被折叠的 条评论
为什么被折叠?
到【灌水乐园】发言
查看更多评论
添加红包
