如何称这种类型的Web漏洞?

时间:2013-04-09 17:02:18

标签: html security web-applications terminology

在黑客挑战中,我发现了以下内容:

<input type="hidden" value="1500" name="price">

这一挑战让您明白,如果您足够聪明地改变价值(由网络应用程序的客户端强加),您可以在购买之前基本上更改商品的价格。
这是一个众所周知的漏洞,会影响Web应用程序,但我真的不知道如何更准确地命名这种类型的漏洞。非常感谢。

2 个答案:

答案 0 :(得分:6)

这称为Web Parameter Tampering,或称为External Control of Assumed-Immutable Web Parameter (CWE-472)

答案 1 :(得分:0)

我会将其归类为客户端漏洞。虽然开发人员使用隐藏字段来存储可能被视为敏感的信息是闻所未闻的,但是开发人员可能会将其用于“简单”解决方案。

显然隐藏字段不会呈现,但可以从源代码中轻松查看。

相关问题
最新问题