通过 Burp 工具拦截 Http Url

Question

最终用户有权从网格中删除一行，他单击删除，请求（url）将在到达服务器之前形成，我将通过 burp 套件工具拦截，我会将操作从删除更改为复制，以便改为在服务器端调用删除操作它将调用复制方法，所以如何避免这些我知道我需要再次进行服务器端验证以克服该用户是否具有删除、添加、编辑、复制权限。 我有很多页面，所以除了服务器端验证之外，我还有其他方法可以克服这个问题

我正在使用的框架 1) 结构 2) EJB

以下是参考网址 userAction=deleteResource&formName=csm_SearchCriteria&documentId=listresources.application&previousFrame=listresources&frame=editresource&resourceName=EMA_BUSINESS_RULE&FW_SYS_ID=54b7c8a0e9ee43ef8649e6e54ddc6f32

拦截网址后修改操作，我将再次转发请求。 userAction=copyResource&formName=csm_SearchCriteria&documentId=listresources.application&previousFrame=listresources&frame=editresource&resourceName=EMA_BUSINESS_RULE&FW_SYS_ID=54b7c8a0e9ee43ef8649e6e54ddc6f32

任何人都可以建议如何克服这个场景

Answer 1

如果用户不应该能够复制该行，则必须在服务器上实施访问控制。由于客户端可以按照您在 Burp 示例中正确描述的方式发送任何内容，因此您无法在客户端上阻止这种情况。

理论上您可以在客户端存储状态，例如用户访问权限加密/签名并带有时间戳等，因此您不必在服务器上再次查询，但一方面，它会增加风险很大，另一方面，您仍然必须在服务器上为每个操作强制执行访问控制规则。

改造安全性很难。考虑到安全性，设计和实施应用程序是值得的。