Originariamente inviata da
SimoX90
Come spesso succede in questi casi, "form tampering" non indica un'unica tecnica, ma piuttosto tutto un insieme di metodi per ottenere dati che non si dovrebbero ottenere.
In generale, il form tampering prevede la manipolazione (es. via javascript dalla console) dei campi input, button, ecc. per far fare al programma ciò che si desidera.
Le due "tecniche" principali sono:
-l'utilizzo degli input hidden già presenti per arrivare a ottenere dati (hidden field manipulation)
http://www.dummies.com/how-to/content/hidden-field-manipulation-hacks-in-web-application.html (l'esempio del prezzo che viene modificato è molto chiarificatore, si capisce cosa è sicuro salvare nei campi hidden e cosa no)
-una falla di html5, che non ho capito appieno perché il materiale è pochissimo, riassumo e spero che qualcuno possa essere più chiaro. (Giusto un appunto, ma non dice molto: http://lists.w3.org/Archives/Public/public-html-comments/2011Aug/0033.html)
In html5 è permesso (???) inserire pulsanti button fuori dal form di riferimento (???), e quindi si possono "deviare" i dati verso una action diversa da quella del form.
Qui altro materiale interessante anche se non aggiornatissimo (valido per html4):
http://www.slideshare.net/guestc27cd9/form-tampering
Rispondi quotando