6.3 绕过客户端校验例程

如果你的应用输入校验措施可以总结为一个词——JavaScript,那么应用就不像你所想的那么安全。客户端JavaScript总是可能被绕过。有些个人代理、个人防火墙和cookie管理软件兜售去除网站弹出式横幅或者其他扰人的组件的能力。许多计算机专家(偏执狂?)完全关闭JavaScript以避免最新的邮件病毒。简而言之,有许多合法的理由和简单的方法可以让互联网用户禁用JavaScript。

当然,禁用JavaScript可能削弱大部分Web应用。幸运的是,有许多工具能帮助我们犹如外科手术般地删除JavaScript或者在JavaScript检查执行之后提交内容,这使我们能够绕过客户端输入校验。使用本地的代理例如Burp,我们可以在GET或者POST发送到服务器之前控制它。这样,我们可以在浏览器里输入通过验证要求的数据,然后在将其发送到服务器之前再修改代理中的任何数值。