網(wǎng)站建設(shè)與前端開發(fā)（四）

• 作者：新網(wǎng)
• 來源：新網(wǎng)
• 瀏覽：100
• 2018-02-28 17:58:47

使這個查詢字符串格式容易暴露，用戶可以編輯和更改超出預(yù)期限制的字段值，或者用垃圾字符填充字段值。 它可以進(jìn)一步導(dǎo)致用戶獲得他們不應(yīng)該獲得的信息。 在最壞的情況下，如果字段值是用戶名和密碼，則只能通過HTTP使用暴力字典攻擊來獲取系統(tǒng)級訪問權(quán)限。

 使這個查詢字符串格式容易暴露，用戶可以編輯和更改超出預(yù)期限制的字段值，或者用垃圾字符填充字段值。 它可以進(jìn)一步導(dǎo)致用戶獲得他們不應(yīng)該獲得的信息。 在最壞的情況下，如果字段值是用戶名和密碼，則只能通過HTTP使用暴力字典攻擊來獲取系統(tǒng)級訪問權(quán)限。

跨站點腳本

 

這是Web技術(shù)中最常見的弱點，它可以吸引XSS(跨站點腳本)對所有主要站點和著名站點的攻擊。人們已經(jīng)發(fā)現(xiàn)，即使在今天，大量的網(wǎng)站也很容易受到這種攻擊。這個漏洞是由于不適當(dāng)?shù)木幊虒嵺`和在Web基礎(chǔ)結(jié)構(gòu)中無法獲得適當(dāng)?shù)陌踩胧┰斐傻摹?/div>

 

我們知道，客戶端瀏覽器維護(hù)自己的安全性，不允許任何人訪問網(wǎng)站內(nèi)容和網(wǎng)站Cookie，用戶本身除外。 在這種情況下，Web應(yīng)用程序中的漏洞讓破解者將客戶端代碼注入用戶訪問的頁面。 這段代碼通常使用JavaScript編寫。

 

要了解這一點，請考慮將用戶名作為輸入的頁面，并在屏幕上顯示“歡迎用戶名”。 讓我們假設(shè)輸入框用JavaScript替代，如下所示：

 

這里，Web頁面可能會最終執(zhí)行腳本標(biāo)簽，顯示對話框消息“You are in trouble”。 這可以由攻擊者進(jìn)一步利用，只需中斷cookie，竊取會話并將該代碼注入受害者用戶的瀏覽器。 一旦這樣做，JavaScript代碼將在受害者的瀏覽器中運行，并盡可能造成損害。

 

SQL注入

 

如前所述，Web門戶在后端使用數(shù)據(jù)庫服務(wù)器，Web頁面連接到數(shù)據(jù)庫，查詢數(shù)據(jù)，并將所獲取的數(shù)據(jù)以Web格式呈現(xiàn)給瀏覽器。

 

如果客戶端上的輸入在以查詢形式發(fā)送到數(shù)據(jù)庫之前沒有經(jīng)過適當(dāng)?shù)倪^濾，就可能發(fā)生SQL注入攻擊。這可能導(dǎo)致操作SQL語句的可能性，以便在數(shù)據(jù)庫上執(zhí)行無效的操作。