Los campos ocultos en el formulario de una aplicación web son un mecanismo común para transmitir datos mediante un cliente de manera superficialmente inmodificable. Si un campo está oculto, este no será mostrado en la pantalla. Sin embargo, el nombre del campo y valor almacenados dentro del formulario son enviados de retorno hacia la aplicación web cuando el usuario envía el formulario.

Aunque en el siguiente ejemplo existen campos de un formulario con nombres “options”, “task” o “return”, estos no son mostrados al usuario. La manera más sencilla de visualizar estos campos ocultos es revisando manualmente la fuente HTML, e identificar las cadenas de texto type=”hidden”.

Este procedimiento resulta sencillo de realizar automáticamente utilizando la herramienta Zed Attack Proxy. Para el siguiente ejemplo se ha configurado el navegador web firefox para utilizarlo como proxy de interceptación.

En primera instancia se visualiza el formulario en su estado normal. Este no revela la presencia de los campos ocultos antes mencionados.

Se utiliza la opción “Show / enable fields” o Mostrar / habilitar campos de Zed Attack Proxy, para visualizar los campos ocultos y habilitar los campos deshabilitados en el navegador para las nuevas peticiones realizadas. Hacer clic en el ícono con un “foco” o "bombillo" ubicado en el menú ubicado en la parte superior de ZAP.

Al recargar nuevamente la página, será ahora factible el visualizar todos los campos ocultos incluidos en el formulario o las páginas webs.

Ahora ya es factible ingresar manualmente valores en estos campos, o utilizar ZAP para modificarlos y enviarlos hacía la aplicación web.

Fuentes:

https://www.owasp.org/index.php/OWASP_Zed_Attack_Proxy_Project
https://code.google.com/p/zaproxy/wiki/TipsAndTricks