Solicitud POST al servidor

Navega tus respuestas
0

Suponga que un usuario ha iniciado sesión en una página web con su propia cuenta, luego realiza una solicitud POST y la captura. Con alguna modificación a la solicitud capturada, se está ejecutando. Por supuesto. Pasa sin problemas.

¿Es este un problema de seguridad en el lado del desarrollo? Debido a que la solicitud POST modificada contiene datos, que no están en el lado de la base de datos / servidor. El usuario cambia su nombre y dirección para evitar algunas restricciones.

¿Qué debo examinar para evitar que esto vuelva a suceder? Capturo la IP de este usuario. Pero me parece que podemos hacerlo mejor para prevenirlo con nuestra habilidad técnica.

    
pregunta user3096996 27.09.2017 - 00:25
fuente

1 respuesta

1

En una aplicación insegura del servidor, esto sería un problema. Pero es más probable que no funcione contra la mayoría de las aplicaciones. Esta es la seguridad de la aplicación web 101.

Una aplicación codificada correctamente tomará estos nombres / valores y desinfectará el lado del servidor de datos. Una vez que se verifican los datos, lo que está buscando los hará parte de la consulta. Es probable que cualquier nombre y valor que envíe el código de las aplicaciones que no se reconozca simplemente se ignorará. El manejo básico de errores podría incluso detener la solicitud.

Además, pueden tener tokens de seguridad en su lugar. Esto es para evitar que alguien realice una solicitud POST con datos fraudulentos y engañe a otra persona para que la envíe y detenga el envío de correo no deseado. Por lo tanto, el simple hecho de enviar una solicitud POST podría no permitir que se realice en absoluto.

En general es un tema bastante amplio. Pero puede leer más sobre cómo se manejan de forma segura los datos del lado del servidor en OWASP si desea familiarizarse mejor.

    
respondido por el Bacon Brad 27.09.2017 - 02:40
fuente

Lea otras preguntas en las etiquetas

Cómo protege el token aleatorio contra CSRF ¿Cuáles son las diferencias principales entre Airodump-ng, Wireshark y TCPdump? [cerrado]