如何伪造ajax服务返回信息
有没有大神了解如何伪造ajax返回信息?
场景如下
手机短信验证码登录模式下,用ajax实现后台验证后返回标识信息,js通过返回信息做处理:
1:页面跳转;(验证成功)
2:提示信息错误。
如果我知道验证成功的返回信息标识,那么我是否能通过伪造该信息以达到成功登录?(在只有手机号一个表单条件下)
最近老想着这问题,如果能伪造,那么如何避免?= =||难不成登录跳转的时候再次验证之前报错的验证码是否正确?
展开
收起
1
条回答
写回答
写回答
-
先回答你的问题,提供三个方法:
通过一个代理伪造response,例如使用调试工具Fiddler;
或者通过篡改DNS的方式(例如修改hosts)让脚本向你的服务器发送请求;
使用Web Inspector、Firebug等调试工具或上述方式修改代码。
你的逻辑有个漏洞,期望欺骗浏览器页面上的Javascript (也就相当于你自己骗自己) ,让该页面认为你已经登录。然后呢?服务器依然认为你没有登录,那么接下来你向服务器提交的请求你也准备自己伪造后交给浏览器吗?整个流程都是你自己在跟自己玩儿。2019-07-17 20:01:38赞同 展开评论 打赏
版权声明:本文内容由阿里云实名注册用户自发贡献,版权归原作者所有,阿里云开发者社区不拥有其著作权,亦不承担相应法律责任。具体规则请查看《阿里云开发者社区用户服务协议》和《阿里云开发者社区知识产权保护指引》。如果您发现本社区中有涉嫌抄袭的内容,填写侵权投诉表单进行举报,一经查实,本社区将立刻删除涉嫌侵权内容。
相关问答
