[Bruit] Modifier un champs caché en Web

Le
Roumégou Eric
Est-il possible en Web avec des outils un peu sioux (genre firebug ou
autre) de modifier directement des valeurs de champs cachés en
execution d'une page d'un site ?

Et de perturber le traitement du site ensuite côté serveur.

Par exemple, on me dit que je dispose d'un crédit de 100 ¤ et si
j'achete qq chose à 200, je me fais jeter.
Est-il possible de le "ruser" et de modifier la valeur navigateur pour
dire j'ai 300 ?

--
Eric Roumégou
Webmaster des wtablettes
http://cerbermail.com/?qE7t4Qvilo
(cliquez sur le lien ci-dessus pour me contacter en privé)
Vidéos High-Tech et Jeu Vidéo
Téléchargements
Vos réponses
Gagnez chaque mois un abonnement Premium avec GNT : Inscrivez-vous !
Trier par : date / pertinence
Daireaux Jean-Baptiste
Le #21639651
Roumégou Eric a écrit :
Est-il possible en Web avec des outils un peu sioux (genre firebug ou
autre) de modifier directement des valeurs de champs cachés en execution
d'une page d'un site ?

Et de perturber le traitement du site ensuite côté serveur.

Par exemple, on me dit que je dispose d'un crédit de 100 € et si
j'achete qq chose à 200, je me fais jeter.
Est-il possible de le "ruser" et de modifier la valeur navigateur pour
dire j'ai 300 ?





De manière général, un serveur ne doit pas faire confiance au client
surtout en mode web. Donc l'info du crédit de 100€ peut être indiqué au
client dans l'intérêt de l'interface. Mais jamais, le client ne doit
indiquer son crédit au serveur. Le serveur doit le savoir sans que cela
figure dans les données échangées entre le client et le serveur.

Dans le meilleur des cas, il faut considérer d'un point de vu serveur
que tu ne sais pas avec quoi tu échanges. ( IE 6-7-8, Mozilla, Mon
programme que j'ai bidouillé en c++ et qui écoute le port 80, ...)

J.B.D.
Eric Demeester
Le #21640691
dans (in) fr.comp.developpement.agl.windev, Roumégou Eric

Bonjour Éric,

Est-il possible en Web avec des outils un peu sioux (genre firebug ou
autre) de modifier directement des valeurs de champs cachés en
execution d'une page d'un site ?



Inutile d'avoir un outil sioux, un éditeur de texte suffit pour modifier
les données renvoyées au serveur.

Mais comme le dit Jean-Baptiste, si cela suffit à tromper le serveur,
c'est que l'application est mal écrite.

--
Eric
Roumégou Eric
Le #21646381
Eric Demeester a pensé très fort :
dans (in) fr.comp.developpement.agl.windev, Roumégou Eric

Bonjour Éric,

Est-il possible en Web avec des outils un peu sioux (genre firebug ou
autre) de modifier directement des valeurs de champs cachés en
execution d'une page d'un site ?



Inutile d'avoir un outil sioux, un éditeur de texte suffit pour modifier
les données renvoyées au serveur.

Mais comme le dit Jean-Baptiste, si cela suffit à tromper le serveur,
c'est que l'application est mal écrite.



okay, merci de vos réponses.
nous faisons les contrôles sur le serveur aussi.
mais comme ce sont des transactions nombreuses et condensées sur une
mème période, nous avons pas mal de traitements côté navigateur.

--
Eric Roumégou
Webmaster des wtablettes
http://cerbermail.com/?qE7t4Qvilo
(cliquez sur le lien ci-dessus pour me contacter en privé)
Eric Demeester
Le #21647911
dans (in) fr.comp.developpement.agl.windev, Roumégou Eric

Bonjour Éric,

nous faisons les contrôles sur le serveur aussi.



C'est indispensable...

mais comme ce sont des transactions nombreuses et condensées sur une
mème période, nous avons pas mal de traitements côté navigateur.



En environnement client/serveur en général et en environnement Web en
particulier, il ne faut jamais faire confiance aux données envoyées par
le client, ou du moins il faut toujours s'en méfier et les contrôler...

Si tu as besoin d'un audit de sécurité sérieux côté serveur (en
l'occurrence une batterie de tests d'intrusion féroces depuis
l'extérieur), je peux fournir. Si ça t'intéresse, contacte-moi en privé
(mon adresse est valide).

--
Eric
Publicité
Poster une réponse
Anonyme