网站建设与前端开发(四)
发布时间:2022-05-14 09:31:29
作者:
来源:
浏览量(1965 )
摘要:使这个查询字符串格式容易暴露,用户可以编辑和更改超出预期限制的字段值,或者用垃圾字符填充字段值。 它可以进一步导致用户获得他们不应该获得的信息。 在最坏的情况下,如果字段值是用户名和密码,则只能通过HTTP...
使这个查询字符串格式容易暴露,用户可以编辑和更改超出预期限制的字段值,或者用垃圾字符填充字段值。 它可以进一步导致用户获得他们不应该获得的信息。 在最坏的情况下,如果字段值是用户名和密码,则只能通过HTTP使用暴力字典攻击来获取系统级访问权限。
跨站点脚本
这是Web技术中最常见的弱点,它可以吸引XSS(跨站点脚本)对所有主要站点和著名站点的攻击。人们已经发现,即使在今天,大量的网站也很容易受到这种攻击。这个漏洞是由于不适当的编程实践和在Web基础结构中无法获得适当的安全措施造成的。
我们知道,客户端浏览器维护自己的安全性,不允许任何人访问网站内容和网站Cookie,用户本身除外。 在这种情况下,Web应用程序中的漏洞让破解者将客户端代码注入用户访问的页面。 这段代码通常使用JavaScript编写。
要了解这一点,请考虑将用户名作为输入的页面,并在屏幕上显示“欢迎用户名”。 让我们假设输入框用JavaScript替代,如下所示:
这里,Web页面可能会最终执行脚本标签,显示对话框消息“You are in trouble”。 这可以由攻击者进一步利用,只需中断cookie,窃取会话并将该代码注入受害者用户的浏览器。 一旦这样做,JavaScript代码将在受害者的浏览器中运行,并尽可能造成损害。
SQL注入
如前所述,Web门户在后端使用数据库服务器,Web页面连接到数据库,查询数据,并将所获取的数据以Web格式呈现给浏览器。
如果客户端上的输入在以查询形式发送到数据库之前没有经过适当的过滤,就可能发生SQL注入攻击。这可能导致操作SQL语句的可能性,以便在数据库上执行无效的操作。
扫码访问手机页面
【免责声明】本网站的部分文章信息(文字、图片、音频视频文件等资源)来自于网络,均是为公众传播有益咨询信息之目的,其版权归版权所有人所有。 本站采用的非本站原创文章及图片等内容无法一一与版权者联系,如果本站所选内容的文章作者及编辑认为其作品不宜供大家浏览,或不应无偿使用, 请及时联系我们删除,同时向您深表歉意!请发送邮件153462496@qq.com进行联系。
0
