セキュリティに関する質問を追加して、最大試行回数を超えた場合にパスワードをリセットすることができます。認証メカニズムのためにこれらのような隠しフィールドを行うのは悪いですか?隠しフィールドをユーザーが編集できるかどうか
<input type="hidden" name="securityAnswered" value=true>
<input type="hidden" name="exceededAttempts" value=true>
ユーザは、クライアント側からこれらの非表示フィールドを入力して編集できますか?
ユーザーは、クライアント側からこれらの非表示フィールドに移動して編集できますか?
もちろんです!クライアント側の何かを編集することができます。ユーザーがそれをやめるのを止めることはできません。
クライアントはいつでもサーバーに任意のコンテンツを投稿できることに注意する必要があります。当然の
というように、この情報をフォームからサーバーに送る別の方法? – rtd353
@ rtd353検証はサーバー上で行う必要があります。それ以外の方法はありません。クライアントがデータを投稿し、サーバーがデータを受信し**検証します。 –
これは当てはまりますが、本当にクライアント側にデータを保存したい場合は、安全なセッションを使用できるということを追加したいだけです。 –
はい、いずれかがctrl+maj+i
をクリックして変更することができますはい、侵入テスト担当者は、このようなげっぷやザップなど傍受プロキシを使用して、このすべての時間を行います。
https://portswigger.net/burp/proxy.html https://www.owasp.org/index.php/OWASP_Zed_Attack_Proxy_Project
ブラウザでの開発ツールを含む、このようなデータを修正する他の多くの方法があります。
Google ChromeまたはFirefoxを使用している場合は、簡単に変更することができます。右クリックして[要素の検査]を選択すると、クライアント側の値の値を変更できます。 –
火災虫、 ... –
あなたのコンソールでは、 'document.querySelector(" input [name = securityAnswered] ")。value =" wibble "' – Tibrogargan