62,072
社区成员
发帖
与我相关
我的任务
分享页面有漏洞,如果中途修改XML数据然后再返回
大家好
公司有个很老的.NET 2003开发的页面
我大概讲下逻辑
A页面(输入数据页,保存数据页面)
B页面(验证数据页面)
现在用户 从A页面输入数据,然后通过页面的ajax ActiveXObject,用页面提交链节的AJAX模式把数据提交给B页面验证
B页面验证通过后拼成XML数据返回给A,A接收到B页面返回的XML数据在janus的Grid里显示数据
如果数据正常,A页面的保存按键可以提交保存,然后在A页面提交数据。
现在发现用户提交的数据有异常(用户在A页面提交 的数据,在B页面明显验证不通过的情况下竟然能返回到A页面提交。
A----提交数据---->B---check(通过,返回XML数据,不通过返回XML数据)->A. A提交
现在我想用户可能在B返回给A的XML的数据上把返回值 进行特定修改。,就是说可能先用一个能check过去的数据验证,然后修改XML,A再提交
我想知道 有什么工具或者方法能够在中途截取XML,然后修改后再传给A?
公司有个很老的.NET 2003开发的页面
我大概讲下逻辑
A页面(输入数据页,保存数据页面)
B页面(验证数据页面)
现在用户 从A页面输入数据,然后通过页面的ajax ActiveXObject,用页面提交链节的AJAX模式把数据提交给B页面验证
B页面验证通过后拼成XML数据返回给A,A接收到B页面返回的XML数据在janus的Grid里显示数据
如果数据正常,A页面的保存按键可以提交保存,然后在A页面提交数据。
现在发现用户提交的数据有异常(用户在A页面提交 的数据,在B页面明显验证不通过的情况下竟然能返回到A页面提交。
A----提交数据---->B---check(通过,返回XML数据,不通过返回XML数据)->A. A提交
现在我想用户可能在B返回给A的XML的数据上把返回值 进行特定修改。,就是说可能先用一个能check过去的数据验证,然后修改XML,A再提交
我想知道 有什么工具或者方法能够在中途截取XML,然后修改后再传给A?
...全文
请发表友善的回复…
发表回复
feile922 2010-05-17
- 打赏
- 举报
好像没什么好方法,httprequest你模拟数据?
copico 2010-05-05
- 打赏
- 举报
楼上说的在理,但是什么工具和方法呢
加油馒头 2010-05-05
- 打赏
- 举报
当然最好的验证方式 就是在服务器端进行验证了。
加油馒头 2010-05-05
- 打赏
- 举报
难道是模拟数据?
好比现在的农场外挂?
好比现在的农场外挂?
Pig23 2010-05-05
- 打赏
- 举报
ajax是会有这种修改返回数据的风险,但不说高端也不是每个人都会弄的,起码要有一定黑客基础的
也可以des加密xml么,随机产生密钥,或者自己写一个简单的转换法则,b页面直接输出序列到a,再用你的法则转换成数据,不需要太复杂,别人就很难搞定了
也可以des加密xml么,随机产生密钥,或者自己写一个简单的转换法则,b页面直接输出序列到a,再用你的法则转换成数据,不需要太复杂,别人就很难搞定了
antiking 2010-05-05
- 打赏
- 举报
验证不通过还能传送,你禁止传送提示不可以么。
hai_yang_09 2010-05-05
- 打赏
- 举报
ding xuexi
copico 2010-05-05
- 打赏
- 举报
大家好
我不是想黑自己,我只是想知道有没有这种方法。。。
现在用户中途修改了XML,到致钱出问题
我不是想黑自己,我只是想知道有没有这种方法。。。
现在用户中途修改了XML,到致钱出问题
winner2050 2010-05-05
- 打赏
- 举报
楼主想多了吧。
就算你中途篡改了xml,也是自己黑自己。这个xml结果只有你自己使用。
就算你中途篡改了xml,也是自己黑自己。这个xml结果只有你自己使用。
vip__888 2010-05-05
- 打赏
- 举报
好像没什么好方法,httprequest你模拟数据?
copico 2010-05-05
- 打赏
- 举报
程序重做是肯定的
现在主要的任务是查出来他们怎么用的,然后找出证据罚钱
现在主要的任务是查出来他们怎么用的,然后找出证据罚钱
以专业开发人员为伍 2010-05-05
- 打赏
- 举报
许多时候,不需要解密,只要知道 #$%^&#@! 这是让你的程序混乱的暗号,那么就用这个当作服务器返回来直接调用你的javascript干下一步工作就可以了。
以专业开发人员为伍 2010-05-05
- 打赏
- 举报
“加密”之类的,浏览器端用什么加密解密?javascript代码?难道别人看不到javascript源代码?
凤凰涅檠 2010-05-05
- 打赏
- 举报
进来看看,随便学习
以专业开发人员为伍 2010-05-05
- 打赏
- 举报
[Quote=引用楼主 copico 的回复:]
我想知道 有什么工具或者方法能够在中途截取XML,然后修改后再传给A?[/Quote]是不是想得太简单了?!以为是什么高深的技术?
互联网协议是开放的,因此任何人都可以做一个浏览器出来,更别说只是简单地针对你的几条通信命令弄个自动化获取数据的小程序。而.net的winform、silverlight甚至可以在自己的应用程序内部嵌入一个webbrowser来用代码控制网页上的一切行为。
我想知道 有什么工具或者方法能够在中途截取XML,然后修改后再传给A?[/Quote]是不是想得太简单了?!以为是什么高深的技术?
互联网协议是开放的,因此任何人都可以做一个浏览器出来,更别说只是简单地针对你的几条通信命令弄个自动化获取数据的小程序。而.net的winform、silverlight甚至可以在自己的应用程序内部嵌入一个webbrowser来用代码控制网页上的一切行为。
以专业开发人员为伍 2010-05-05
- 打赏
- 举报
[Quote=引用 10 楼 sp1234 的回复:]
删除了B页面重做。别的我也不想说什么了。
[/Quote]
哦,是删除了A页面重做。
设么叫做客户端验证?客户端验证还能被服务器相信?你们是怎么设计web软件的呢?
删除了B页面重做。别的我也不想说什么了。
[/Quote]
哦,是删除了A页面重做。
设么叫做客户端验证?客户端验证还能被服务器相信?你们是怎么设计web软件的呢?
以专业开发人员为伍 2010-05-05
- 打赏
- 举报
删除了B页面重做。别的我也不想说什么了。
jshi123 2010-05-05
- 打赏
- 举报
用RSA签名可以防止数据被篡改
wuyq11 2010-05-05
- 打赏
- 举报
HttpWatch对通过浏览器进行网络通讯的数据进行监控和分析
不成功返回错误标识,AJAX,xmlhttp
不成功返回错误标识,AJAX,xmlhttp
