有没有大神了解如何伪造ajax返回信息?
场景如下
手机短信验证码登录模式下,用ajax实现后台验证后返回标识信息,js通过返回信息做处理:
1:页面跳转;(验证成功)
2:提示信息错误。
如果我知道验证成功的返回信息标识,那么我是否能通过伪造该信息以达到成功登录?(在只有手机号一个表单条件下)
最近老想着这问题,如果能伪造,那么如何避免?= =||难不成登录跳转的时候再次验证之前报错的验证码是否正确?
先回答你的问题,提供三个方法:
- 通过一个代理伪造response,例如使用调试工具Fiddler;
- 或者通过篡改DNS的方式(例如修改hosts)让脚本向你的服务器发送请求;
- 使用Web Inspector、Firebug等调试工具或上述方式修改代码。
你的逻辑有个漏洞,期望欺骗浏览器页面上的Javascript (也就相当于你自己骗自己) ,让该页面认为你已经登录。然后呢?服务器依然认为你没有登录,那么接下来你向服务器提交的请求你也准备自己伪造后交给浏览器吗?整个流程都是你自己在跟自己玩儿。