网站建设与前端开发(二)
发布时间:2022-05-14 09:31:46
作者:
来源:
浏览量(2012 )
摘要:通常,在Web门户的情况下,用户会得到一个ID和一个密码来登录并执行某些功能。门户管理人员也为维护和数据管理提供了自己的凭证。如果Web服务和应用程序不是从编码的角度设计的,那么就可以利用它们来获得更高的特权...
通常,在Web门户的情况下,用户会得到一个ID和一个密码来登录并执行某些功能。门户管理人员也为维护和数据管理提供了自己的凭证。如果Web服务和应用程序不是从编码的角度设计的,那么就可以利用它们来获得更高的特权。
例如,如果Web服务器未使用最新的安全修补程序进行修补,这可能导致远程代码执行,攻击者可能会编写一个脚本来利用该漏洞,并访问服务器并远程控制它。 在某些情况下,可能会发生这种情况,因为没有遵循最佳的编码和安全实践,在安全配置中留下空白,并使Web解决方案容易受到攻击。
表单输入无效
许多网站使用由网站用户填写的表单,并提交给服务器。 然后,服务器验证输入并将其保存到数据库。 验证过程有时委托给客户端浏览器或数据库服务器。 如果这些验证不够强大或没有正确编程,他们可能会留下可以被攻击者利用的安全漏洞。
例如,如果一个字段如PAN号码是强制性的,并且如果重复条目的验证不能正确完成,则攻击者可以用伪PAN号码以编程方式提交表单,从而以假条目填充数据库。 这最终可以帮助攻击者种植拒绝服务(DoS)攻击,只需查询页面,询问不存在的条目。
代码挖掘
虽然这与之前的漏洞有点类似,但在破解它的方式上有一些不同。通常,程序员在为各种用户输入设置限制时,会做出假设。典型的例子是用户名不应该超过50个字符,或者数字值永远是正数,等等。
从安全的观点来看,这些假设是危险的,因为骇客可以利用它们。例如,通过填充具有100个字符的名称字段,从而对数据集施加压力,或者通过在数值字段中提供负整数来创建不正确的计算结果。
扫码访问手机页面
【免责声明】本网站的部分文章信息(文字、图片、音频视频文件等资源)来自于网络,均是为公众传播有益咨询信息之目的,其版权归版权所有人所有。 本站采用的非本站原创文章及图片等内容无法一一与版权者联系,如果本站所选内容的文章作者及编辑认为其作品不宜供大家浏览,或不应无偿使用, 请及时联系我们删除,同时向您深表歉意!请发送邮件153462496@qq.com进行联系。
0
