Могут ли скрытые параметры с областью запроса создавать проблемы безопасности в приложении?

Question

В моем приложении я использую скрытые параметры для хранения URL-адреса успеха и ошибки. В зависимости от определенных действий страница будет перенаправлена ​​на URL успеха или ошибки. Скрытые параметры находятся в области запроса. Ниже приведен фрагмент исходного кода из браузера.

<input value="success.jsp" type="hidden" name="successURL">
<input value="error.jsp" type="hidden" name="errorURL">

Если кто-то попытается изменить скрытый параметр и ввести другой URL-адрес, это повлияет только на сеанс пользователя. Когда средства безопасности запущены, они сообщают о проблеме со скрытыми параметрами. Но я не уверен, что инструменты безопасности обладают интеллектом, чтобы проверить область действия параметров и решить, какие параметры действительно вредны. Инструмент обычно просто вводит какой-то другой URL-адрес в скрытые параметры, пытаясь увидеть, перемещается ли сайт. Но что касается приложения, я чувствую, что скрытые параметры с областью запроса не причинят никакого вреда.

Я не уверен, правильно ли я понимаю.

Answer 1

Это действительно зависит от вашей заявки.Например, если злонамеренный пользователь изменяет errorURL на принадлежащий ему сервер и вставляет ввод с удалением ошибок, ваше приложение, вероятно, сгенерирует исключение, и, возможно, сведения об этом исключении будут отправлены в errorURL, который даст злонамеренному пользователю большеинформация о вашем сервере и конфигурации, делающая ваше приложение (и хост-сервер) более уязвимым для атак.

скрытые входы должны быть очень хорошо продуманы.