Spesso sento come non si può fare affidamento sul lato client JavaScript perché può essere facilmente modificato. Come può essere modificato esattamente, quale programma sarebbe usato per modificare il JavaScript prima che una pagina venisse visualizzata? Ovviamente in un browser se si sceglie "Visualizza sorgente" lo si vede, ma come lo cambierebbe un utente malintenzionato?
Il proxy BURP consente di modificare la richiesta http effettuata dal browser e le risposte http. Utilizzando questo strumento è possibile modificare JavaScript o modificare le richieste fatte da JavaScript per attaccare il sistema lato server.
Puoi anche modificare JavaScript utilizzando gli Strumenti per sviluppatori di Chrome o firebug per firefox .
Suppongo che tu non ti stia riferendo agli attacchi MITM perché se uno ha un uomo nella situazione di mezzo raramente c'è bisogno di modificare Javascript in transito, perché l'intermediario può impersonare il server sul client o viceversa .
Se ci si riferisce al motivo per cui non è possibile utilizzare il JS lato client per scopi di convalida, tenere presente che il client non è considerato affidabile. Il cliente può fare tutto ciò che vuole; il server deve proteggersi.
Potrebbe essere semplice come:
Non sono richiesti strumenti complicati; solo un browser e un blocco note.
Ovviamente se qualcuno vuole scrivere direttamente il proprio codice HTTP, può completamente rinunciare al Javascript e inviare direttamente query dannose al server direttamente.
Leggi altre domande sui tag javascript exploit