目錄
1、回傳請求引數修改
2、回傳請求整體被替換
3、修復方案
正常情況下,我們通過抓包修改前端的請求,回傳我們測驗想要的結果,但有時候,如果后端處理不充分,或者是邏輯處理有問題:
1、回傳請求引數修改
具體修改的引數:
Result 回傳結果:從false改成True,
ErrorCode 如果你其他正常請求回傳包有代碼的可以替換,如果不清楚直接設定為空值
ErrorMsg 如果你其他正常請求回傳包有代碼的可以替換,如果不清楚直接設定為空值
上面修改完成,直接發送請求, 如果跳轉的頁面沒有對前端的頁面請求做鑒權的,直接識別回傳的請求引數,這種情況下就直接繞過跳轉到下個你想要的頁面,(修改密碼,設定密碼啥的?)
2、回傳請求整體被替換
這種情況遇到的不多,但也會遇到,這邊其實也是一樣會發生在注冊或者激活頁面,當然其他頁面也可能存在這種情況,但即時用了,沒有太大實質性的意義,
下面圖片只是一個事例,實際不一定存在,我這邊就是拿來舉個例子,
第一種情況:
上面登錄成功后,會獲得正常登錄的請求:
上面這種情況,整體的替換效果基本沒什么效果,
第二種情況:
其實是參考前面result引數值,然后直接跳轉到主頁面情況,如果是這種情況 下,上面主頁面的用戶名/密碼啥的可以隨便填寫,抓包修改回傳請求的時候,截斷回傳請求將上面這種正常的請求全部替代直接跳轉到主頁面,比較危險!!!
3、修復方案
1. 針對第一種情況,頁面間需要做鑒權處理,正常判斷值不能僅僅依據回傳的值來處理,,
2. 針對第二種情況,其實回傳請求,處理了兩個邏輯:1.驗證介面出入的值的正確與否,2. 頁面跳轉,這邊可以進行分開處理,同時加上第一種情況的鑒權,
轉載請註明出處,本文鏈接:https://www.uj5u.com/qita/316371.html
標籤:其他