Ainda não tem acesso? Estude com a gente! Matricule-se
Ainda não tem acesso? Estude com a gente! Matricule-se

Falha de segurança

Ao setar o token no localstorege do navegador e logo após fazer login, a verrificação de liberar o acesso ao usuário somente pela lógica se existe ou nao um TOKEN pode ser contornada pela seguinte situação: mesmo não estando logado posso ir no localstorage e setar um token com qualquer valor, editar a url e inserir uma que seja somente de acesso interno, mesmo com autenticação eu tenho acesso ao sistema. Pegunta, como posso contornar isso???

2 respostas

Boa tarde! Como vai?

Boa pergunta! A situação descrita por vc está correta, mas faltou considerar uma coisa. Ao fazer a requisição pra API enviando o token criado por vc ela não permitirá acesso dizendo que o token é inválido. Dessa forma vc não irá conseguir efetuar nenhuma funcionalidade.

Pegou a ideia? Qualquer coisa é só falar!

Grande abraço e bons estudos!

Massa, mas posso sondar toda a aplicação pelo menos navegando pelas telas, no caso de ter informação sensivel ela estará vulneravel, como posso fazer esse bloqueio?