在Vaadin应用程序中,我让用户登录,然后他们被定向到一个视图,该视图根据用户的唯一ID显示从数据库中获取的一些数据。他们可以继续到其他视图以获得更多详细信息等。
在身份验证之后,这意味着他们可以访问API,是否可以像Burp套件一样以某种方式更改请求,向视图发送不同的ID,以使API发生故障并返回另一个用户的详细信息?
Vaadin是如何防止它的呢?从客户端到服务器的通信,还是从视图到视图的通信都是通过POST请求进行的?
在Vaadin应用程序中,我让用户登录,然后他们被定向到一个视图,该视图根据用户的唯一ID显示从数据库中获取的一些数据。他们可以继续到其他视图以获得更多详细信息等。
在身份验证之后,这意味着他们可以访问API,是否可以像Burp套件一样以某种方式更改请求,向视图发送不同的ID,以使API发生故障并返回另一个用户的详细信息?
Vaadin是如何防止它的呢?从客户端到服务器的通信,还是从视图到视图的通信都是通过POST请求进行的?
1条答案
按热度按时间a5g8bdjr1#
在我运行的一些测试中,当我在文本字段中输入内容时,我可以看到值通过Firefox webtools发送到服务器。
然而,当使用其他服务器端控件时,比如日期选择器,我看不到正在传输的值。所以我猜服务器端控件对伪造是免疫的。
该文档指出:“与客户端驱动的框架不同,Flow应用程序从不向浏览器暴露其内部,在浏览器中,漏洞可能被攻击者滥用。”
所以它看起来很安全,但关于它是如何做到的,我不知道。