好的,所以我正在做一些课程作业,我的主要目标是创建一个故意易受攻击的 Web 应用程序和一个安全的应用程序来比较两者之间的差异。我在大多数应用程序上都做得很好,但是我被难住了。
我需要创建 Web 应用程序的一部分,让我可以从网页上购买商品,注意用户在网站上购买代币,代币用于在网站上购买商品。
例如,一本书可能需要 100 个代币。用户必须购买 100 个代币才能购买这本书。
在故意易受攻击的网络应用程序中,我将简单地将“购买”按钮重定向到 ID 为 1 的项目的 /buyItem?id=01。这样做的明显缺点是有人可以将链接发送给网络应用程序之外的用户它将他们定向到 /buyItem?id=01 并且它会自动向他们收费,从他们的余额中减少代币并将它们重定向到默认网页。我想知道保护此功能的最佳方法是什么,
我考虑过使用引荐来源网址值来确保它们来自正确的页面,但是这些很容易被欺骗。
如果有什么需要解释的,我很乐意解释更多。购买代币等系统很糟糕,但它是课程作业规范的一部分。