alterar post - enganar o servidor (como um hacker)

[henrique-rafael 0]

Procurei um monte na internet mas não achei essa informação de forma clara.

Gostaria de entender qual o processo e como fazer para por exemplo alterar alguns dados para enganar o servidor.

Por exemplo, em uma página qualquer da internet(que NÃO pertence a mim) tem um form semelhante ao form abaixo

<form action="alterei.php" method="post">

meus dados para preencher (qualquer): <input type="text" id="dadoqualquer"><br>

dado escondido <input type="hidden" id="dado_que_o_usuario_nao_deveria_alterar" id="hacker_nao_altere">

</form>

A pergunta é:

No caso do primeiro input, ele já está disponibilizado para o usuário preencher com o que quizer.

Porém o segundo input está escondido, então de qual forma (um hacker, ou sei lá o que) poderia alterar o conteúdo do segundo input e enviar para o servidor essa requisição com o input escondido aldulterado?

[Maykel-ctba 233]

Caso você tenha autonomia sobre o código, você pode usar jQuery.

$('#hiddenField').attr('val','valor alterado');

De forma remota, creio não ser possível.

Observação: Seu hidden field tem 2 IDs.

[ESerra 744]

Você pode usar cURL para simular o formulário, pode usar o inspetor de elementos para alterar o valor ou usar o que dito anteriormente.

[Éverson da Luz 6]

Não há como evitar que hackers ou crackers enviem falsos posts para o seu servidor,

isso pode ser feito de qualquer página na internet ou mesmo localmente, basta usar o cURL como o ESerra falou,

ou mandar requisições via ajax ou post por javascript, ou com PHP mesmo.

Sabendo disso, o que deve ser feito é o desenvolvedor se proteger desses ataques, colocando segurança no código, se o código está seguro dificilmente requisições de fora farão efeito, também existe a politica de origem de mesmo dominio, que evita que servidores externos mandem requisições para outro servidor.

[henrique-rafael 0]

obrigado pelas respostas.

eu sei que qualquer coisa que esteja na máquina do usuário é passivel de ser falsificado. Só gostaria de entender o processo para saber como me defender.

Aproveitando o guancho, eu vi que também da pra falsificar o $_SERVER. Vocês sabem como isso é feito? Segue o mesmo processo das respostas acima?

obs.: Se pode ser mudado pelo inspetor, então acredito que impedir servidores externos não irá refrescar muito, né (ou será que não)?

Estou preocupado com o XSS, quero saber se é possível por exemplo o hacker enviar a minha página com um formulario meu e com um submit para o site do atacante, fazendo meus usuários se cadastrarem em um link meu, mas na hora do submit o formulário ser enviado para outro link.