Подмена параметров в Web-приложениях

 

Подмена параметров в Web-приложениях

Подмена параметров это класс атак, в котором атакующий подменяет данные, пересылаемые клиентским приложением (браузером) Web-серверу. В большинстве случаев, для организации ввода информации пользователем Web-приложения используют HTML-формы. Проблема безопасности HTML-форм заключается в том, что по своей природе Web-приложения наследуют свойства HTTP соединений – для каждой новой формы устанавливается новое соединение, не сохраняющее свойств предыдущего соединения. В

этом смысле Web-приложения являются приложениями «без предыстории» (stateless). Если приложение взаимодействует с пользователем с помощью набора форм для ввода информации, то возникает необходимость сохранения некоторых данных, введенных на предыдущих шагах, чтобы передать собранную информацию на сервер как часть следующей транзакции. Чтобы каким-то образом сохранить контекст предыдущих форм, разработчики могут использовать два подхода – сохранять необходимую информацию на сервере либо на стороне клиента, причем большинство разработчиков предпочитают второй вариант, считая его более легким в реализации. Информация на стороне клиента может сохраняться в файлах cookies браузера, в виде значений, добавляемых к URL и в скрытых полях HTML-форм. К сожалению, каждый из этих вариантов уязвим к атакам. Главное правило, каким должен руководствоваться разработчик гласит: любая информация, возвращаемая клиентом на сервер может быть подменена – значения полей форм, http-заголовки и даже cookies.

 
 
 

0 - Количество комментариев

Оставьте комментарий.

 
 

Оставьте комментарий