好的,所以我正在做一些课程,我的主要目标是创建一个故意易受攻击的Web应用程序和一个安全的应用程序来比较两者之间的差异。我在应用程序的大部分时间都表现不错,但是我被困住了。
我需要创建一个网络应用程序的一部分,让我从网页上购买商品,注意用户在网站上购买代币,代币用于购买网站上的商品。
例如,一本书可能需要100令牌。用户必须购买100个代币才能购买该书。
在故意易受攻击的网络应用程序中,我只需将“购买”按钮重定向到/ buyItem?id = 01即可获得ID为1的项目。明显的缺点是有人可以向用户发送链接将它们定向到/ buyItem?id = 01的网络应用程序,它会自动对它们进行计费,从其余额中减少令牌并将它们重定向到默认网页。我想知道保证这个功能的最佳方法是什么,
我考虑使用引荐来源值来确保它们来自正确的页面,但这些很容易被欺骗。
如果需要解释任何事情,我很乐意解释更多。购买令牌等系统很糟糕,但这是课程作业规范的一部分。
答案 0 :(得分:0)
我会通过$_POST发送请求。这样就无法轻易修改URL。然后,假设您在数据库中记录“信用”,只需检查用户的可用余额。如果余额大于购买价格,则批准交易。
这是一种基本方法,但对于你正在做的事情,我认为它会起作用。