アカウント名:
パスワード:
自作プログラムなんか要りません.ごく普通のブラウザだけでもできます.ブラウザのアドレスバー(URL窓)に,適切なリクエストパラメータ(検索エンジンの結果表示の,あのズラズラ長いURLのこと)を直接書き込めばいいだけです(たいていのWebアプリケーションサーバは,Get と Postを同一視するから).
ユーザがWebアプリの本来意図しないデータをサーバに送るのは,ホントに簡単なのです.
だから,まともなWebアプリなら,ユーザからどのような値が送られたとしても,サーバ側でそれを検証して,おかしな挙動を起さないようにします.例えばJava の
より多くのコメントがこの議論にあるかもしれませんが、JavaScriptが有効ではない環境を使用している場合、クラシックなコメントシステム(D1)に設定を変更する必要があります。
皆さんもソースを読むときに、行と行の間を読むような気持ちで見てほしい -- あるハッカー
これってヤバイんじゃ? (スコア:4, 興味深い)
ソース表示時にソースを編集して、キャッシュからページを再表示する機能なんだけど、
SSLセッション中にセッションを切らずにHTMLを改竄して再表示が可能。
HIDDENフォームタグなども操作し放題です。
Re:これってヤバイんじゃ? (スコア:1)
視覚ブラウザじゃなくて自分でプログラムを書いたりすれば、httpsで接続してデータを受け取って改竄してPOSTすることはできるはずですから。
アドレスバー直書きだけで可能 (スコア:0)
自作プログラムなんか要りません.ごく普通のブラウザだけでもできます.ブラウザのアドレスバー(URL窓)に,適切なリクエストパラメータ(検索エンジンの結果表示の,あのズラズラ長いURLのこと)を直接書き込めばいいだけです(たいていのWebアプリケーションサーバは,Get と Postを同一視するから).
ユーザがWebアプリの本来意図しないデータをサーバに送るのは,ホントに簡単なのです.
だから,まともなWebアプリなら,ユーザからどのような値が送られたとしても,サーバ側でそれを検証して,おかしな挙動を起さないようにします.例えばJava の
Re:アドレスバー直書きだけで可能 (スコア:1)
自分でも、method="POST"のformから呼ぶCGIの結果へのリンクを張ったりするために使うことがあるのに。