在 Vaadin 應用程式中,我有用戶登錄,然后他們被定向到一個視圖,該視圖根據用戶的唯一 ID 顯示從資料庫中獲取的一些資料。他們可以繼續查看其他視圖以獲取更多詳細資訊等。
身份驗證后,這意味著他們可以訪問 API,是否可以像使用 Burp 套件一樣更改請求以向視圖發送不同的 id 以使 API 發生故障并回傳另一個用戶的詳細資訊?
Vaadin 如何防御它?是從客戶端到服務器的通信,還是從視圖到視圖的通信發生在 POST 請求中?
uj5u.com熱心網友回復:
通過在文本欄位中輸入內容時運行的一些測驗,我可以看到通過 Firefox webtools 發送到服務器的值。
但是,當使用其他服務器端控制元件時,例如日期選擇器,我看不到正在傳輸的值。所以我猜服務器端的控制元件是免疫偽造的。
檔案說:“與客戶端驅動的框架不同,Flow 應用程式從不將其內部結構暴露給瀏覽器,這樣漏洞可能會被攻擊者濫用。”
所以它看起來很安全,但關于它是如何完成的,我不知道。
轉載請註明出處,本文鏈接:https://www.uj5u.com/net/490761.html
