È possibile determinare, dal lato client, tutti i campi validi per un determinato processore di backend, anche se sono esclusi dalla pagina web che contiene il modulo?
Ad esempio:
Assumi un elaboratore di moduli con più moduli HTML che lo inviano. Un modulo ha solo 5 campi, un modulo più 'privilegiato' potrebbe avere 10. Niente impedisce al client di inviare tutti i 10 campi modificando il modulo a 5 campi, tranne che non conoscono i campi senza aver visto entrambi i moduli.
Quindi, in questo caso, lo sviluppatore dell'app Web sta tentando di controllare l'accesso a determinate funzioni escludendo specifici campi modulo da una pagina. Un utente può identificare quali campi sono disponibili, ma non mostrati, se hanno solo accesso alla versione limitata del modulo?
Se la risposta è "solo attraverso la supposizione", allora questo modello di "sicurezza" considera la sicurezza attraverso l'oscurità?
OP Edit - Speriamo di aggiungere un po 'di chiarezza.
Un'applicazione con cui lavoro è segmentata in più moduli disponibili per gli amministratori per varie funzioni. Agli amministratori può essere concesso l'accesso ai moduli su base individuale (ad esempio, a adminA può essere concesso l'accesso a modulo1 e modulo3 e non vengono concessi diritti al modulo2). L'applicazione consente quindi di gestire i diritti di amministrazione su un livello più granulare regolando i diritti di visualizzazione / modifica dei singoli elementi all'interno del modulo. Tuttavia, ho capito che il permesso di sola lettura è controllato (solo dal lato client) da campi modulo disabilitati e l'esclusione dei campi modulo. Conoscendo l'ID di un campo mancante, posso inviare e modificare i valori anche se il campo non è nella fonte della pagina. Posso sfruttarlo perché conosco il nome dei campi mancanti, ma quanto è vulnerabile l'applicazione allo sfruttamento da parte di individui che non sono a conoscenza dei nomi dei campi mancanti?