Google Inspector에서 HTML 변경하기

Question

Google Inspect Element를 열고 주어진 사이트에 대해 HTML, CSS 또는 기타를 변경할 수 있다는 것을 알고 있습니다.

내 질문에도 보안 위협이 될 수 있습니까? 적어도 웹 사이트의 무결성에 대한 위협 일 수 있습니다. PHP로 웹 사이트를 만들었고 스크립트에서 POST에서 폼을 기다리고 있다고 가정 해 보겠습니다.하지만 누군가가 Inspect Element에서 사이트를 열어 양식을 GET으로 변경했습니다. 귀하의 사이트가 제대로 작동하지 않을까요?

나는 해커를 기쁘게하는 훌리건이 이것에 약간의 피해를 줄 수 있다고 상상해보아야한다. 나는 스스로 해킹 할 수 없으므로 그들이 할 수있는 일을 알지 못한다. 그러나 나는 최악의 상황을 상상해야한다.

웹 사이트를 개발할 때 고려해야 할 또 다른 사항이 있습니까? 사람들이 HTML을 어떻게 바꿀 수 있습니까? 내 말은, 악의적 인 사용자 입력으로부터 사이트를 보호하기 위해 스트립 태그와 모든 것을 필요로한다는 것을 이해하지만, 실제로 눈앞에서 사이트를 실제로 바꿀 수있는 방법에 대해 걱정해야한다는 것은 약간 우습다.

생각하십니까?

Answer 1

아니요, 이것은 이 아닙니다.은 보안 위협입니다. 조금도 아닙니다. 실제 해커가 BURP (또는 이와 유사한 프록시)을 사용하여 엿 같은 웹 응용 프로그램을 악용하는 경우 일반적으로 JavaScript의 HTML을 수정하는 것보다 쉽습니다.

클라이언트 측 스크립트를 수정할 수 있다는 것은 분명한 사실입니다. 위협이 아닙니다. 이 위협은 순진한 개발자가 보안을 위해 이러한 컨트롤에 의존 할 때만 생성됩니다.이 업계에서는 이것을 CWE-602이라고합니다. 웹 애플리케이션 보안의 기초가되는 클라이언트를 결코 신뢰할 수 없습니다. 모든 보안 관련 컨트롤은 서버 쪽이어야합니다.