1

Google Inspect Element を開いて、特定のサイトの HTML や CSS などを変更できる可能性が非常に高いことはわかっています。

私の質問ですが、これは本当にセキュリティ上の脅威ではないのでしょうか? または、少なくともあなたのウェブサイトの完全性に対する脅威. PHP で作成した Web サイトがあり、スクリプトでフォームからの POST を期待していたのに、誰かが Inspect Element でサイトを開いて、フォームを GET に変更したとします。あなたのサイトは正しく機能しませんよね?

ハッカーに精通したフーリガンがこれで何らかの損害を与える可能性があると想像する必要がありますね。私はハックに精通していないので、彼らが何ができるかはわかりませんが、最悪の事態を想像する必要があります.

これは、Web サイトを開発する際に考慮すべきもう 1 つのことでしょうか? 人々は HTML をどのように変更できますか? つまり、悪意のあるユーザーの入力からサイトを保護するために、好きなタグやその他すべてを削除する必要があることは理解していますが、目の前で実際にサイトを変更する方法について心配する必要があるのは少しばかげています.

考え?

4

1 に答える 1

1

いいえ、これは決してセキュリティ上の脅威ではありません。少しもありません。本物のハッカーは、BURP (または同様のプロキシ) を使用して、くだらない Web アプリケーションを悪用しようとしていますが、これは通常、JavaScript の HTML を変更するよりも簡単です。

クライアント側のスクリプトを変更できることは明らかであり、それは脅威ではありません。この脅威は、素朴な開発者がセキュリティのためにこれらのコントロールに依存している場合にのみ作成されます。この業界では、これをCWE-602違反と呼んでいます。Web アプリケーション セキュリティの基盤であるクライアントを信頼することはできません。 すべてのセキュリティ関連のコントロールはサーバー側である必要があります。

于 2012-09-20T03:59:33.807 に答える