A menudo escucho cómo no se puede confiar en JavaScript del lado del cliente porque se puede cambiar fácilmente. ¿Cómo se puede cambiar exactamente, qué programa se usaría para modificar el JavaScript antes de que se muestre una página? Obviamente, en un navegador, si eliges "ver fuente", lo ves pero ¿cómo lo cambiaría un atacante?
El proxy BURP le permite modificar la solicitud de http hecha por el navegador, así como las respuestas de http. Con esta herramienta puede modificar JavaScript o modificar las solicitudes realizadas por JavaScript para atacar el sistema del lado del servidor.
También puede editar JavaScript usando las Herramientas de desarrollo de Chrome o firebug para firefox .
Supongo que no te estás refiriendo a los ataques MITM porque si uno tiene un hombre en la situación intermedia, rara vez es necesario modificar Javascript en tránsito, porque el hombre medio puede hacerse pasar por el servidor al cliente o viceversa .
Si se refiere a por qué no puede usar JS del lado del cliente para fines de validación, tenga en cuenta que el cliente no es de confianza. El cliente puede hacer lo que quiera; el servidor tiene que protegerse a si mismo.
Podría ser tan simple como:
No se requieren herramientas complicadas; sólo un navegador y un bloc de notas.
Por supuesto, si alguien quiere escribir su código HTTP directamente, puede prescindir completamente de Javascript y simplemente enviar consultas maliciosas directamente al servidor.
Lea otras preguntas en las etiquetas exploit javascript