Security 通过Burp工具拦截Http Url
最终用户有权从网格中删除行,他单击“删除并请求”(url)将在到达服务器之前形成我将通过burp suite工具拦截,我将把操作从delete更改为copy,这样它将调用copy方法,而不是在服务器端调用delete操作,因此如何避免这些我知道我需要再次进行服务器端验证,以克服该用户是否有delete、add、edit、,复制权限。 我有很多页面,所以没有服务器端验证,我还有其他方法来克服这个问题吗 我正在使用的框架 1) 结构 2) EJB 下面是参考url userAction=deleteResource&formName=csm\u SearchCriteria&documentId=listresources.application&previousFrame=listresources&frame=editresource&resourceName=EMA\u BUSINESS\u RULE&FW\u SYS\u ID=54B7C8A0E9EE43EF8649E64DDC6F32 截获url后修改操作,我将再次转发请求。 userAction=copyResource&formName=csm\u SearchCriteria&documentId=listresources.application&previousFrame=listresources&frame=editresource&resourceName=EMA\u BUSINESS\u RULE&FW\u SYS\u ID=54B7C8A0E9EE43EF8649E64DDC6F32Security 通过Burp工具拦截Http Url,security,weblogic,struts,ejb-3.0,Security,Weblogic,Struts,Ejb 3.0,最终用户有权从网格中删除行,他单击“删除并请求”(url)将在到达服务器之前形成我将通过burp suite工具拦截,我将把操作从delete更改为copy,这样它将调用copy方法,而不是在服务器端调用delete操作,因此如何避免这些我知道我需要再次进行服务器端验证,以克服该用户是否有delete、add、edit、,复制权限。 我有很多页面,所以没有服务器端验证,我还有其他方法来克服这个问题吗 我正在使用的框架 1) 结构 2) EJB 下面是参考url userAction=delete
有人能建议如何结束此场景吗?如果用户不能复制该行,则必须在服务器上实施访问控制。由于客户机可以发送您在Burp示例中正确描述的任何内容,因此您无法在客户机上防止这种情况 理论上,您可以在客户端上存储状态,例如加密/签名并带有时间戳的用户访问权限等。因此,您不必在服务器上再次查询该状态,但一方面,这会大大增加风险,另一方面,您仍需在服务器上强制执行访问控制规则,为了每一个行动
改造安全性很难。在设计和实现应用程序时应考虑到安全性。如果用户不能复制该行,则必须在服务器上实施访问控制。由于客户机可以发送您在Burp示例中正确描述的任何内容,因此您无法在客户机上防止这种情况 理论上,您可以在客户端上存储状态,例如加密/签名并带有时间戳的用户访问权限等。因此,您不必在服务器上再次查询该状态,但一方面,这会大大增加风险,另一方面,您仍需在服务器上强制执行访问控制规则,为了每一个行动 改造安全性很难。考虑到安全性,设计和实现应用程序是值得的