Причины, по которым аутентификация на стороне клиента — плохая идея.
Так что же такое аутентификация на стороне клиента?
Проще говоря, на самом деле аутентификацию выполняет сторона пользователя, а не сервер.
В наши дни запросы аутентификации отправляются на сервер, и сервер использует эту информацию для аутентификации пользователя.
Как выполнить аутентификацию на стороне клиента?
Просто, вы можете просто использовать JavaScript. Вы можете проверить, равна ли одна переменная другой переменной, и бум, у вас есть простая процедура аутентификации.
Пример
Примером может служить рум CyberHeroes от TryHackMe, где есть аутентификация на стороне клиента на странице входа.
Как мы обнаружим, что он выполняет аутентификацию на стороне клиента?
Ну, для меня это сделало предупреждение, которое обычно происходит на стороне клиента. Но это не ВСЕГДА.
Самый эффективный способ проверить подлинность на стороне клиента — прочитать исходный код!
Таким образом, глядя на оператор if, он проверяет, равно ли значение a h3ck3rBoi, а значение b равно обращенному 54321@terceSrepuS.
Вы можете легко перевернуть слово, используя онлайн-переворот или просто используя JavaScript в кодах.
Итак, теперь у нас есть пользователь и пароль, которые мы можем использовать
h3ck3rBoi:Суперсекрет@12345
Теперь мы можем просто войти в систему и получить флаг!
Заключение
Аутентификации на стороне клиента следует избегать, даже если вы пытаетесь максимально скрыть ее. Безопасность через неясность не работает так хорошо. Наличие аутентификации на стороне клиента в основном позволяет любому хакеру выполнять тестирование белого ящика.
Дополнительные материалы на PlainEnglish.io. Подпишитесь на нашу бесплатную еженедельную рассылку новостей. Подпишитесь на нас в Twitter и LinkedIn. Посетите наш Community Discord и присоединитесь к нашему Коллективу талантов.
