麻豆成人91精品二区三区,国产91在线播放,加勒比无码专区中文字幕,欧美黑人XXXX高潮猛交

網(wǎng)站建設(shè)與前端開(kāi)發(fā)（二）

• 作者：新網(wǎng)
• 來(lái)源：新網(wǎng)
• 瀏覽：100
• 2018-02-28 17:56:23

　　通常，在Web門(mén)戶(hù)的情況下，用戶(hù)會(huì)得到一個(gè)ID和一個(gè)密碼來(lái)登錄并執(zhí)行某些功能。門(mén)戶(hù)管理人員也為維護(hù)和數(shù)據(jù)管理提供了自己的憑證。如果Web服務(wù)和應(yīng)用程序不是從編碼的角度設(shè)計(jì)的，那么就可以利用它們來(lái)獲得更高的特權(quán)。

 通常，在Web門(mén)戶(hù)的情況下，用戶(hù)會(huì)得到一個(gè)ID和一個(gè)密碼來(lái)登錄并執(zhí)行某些功能。門(mén)戶(hù)管理人員也為維護(hù)和數(shù)據(jù)管理提供了自己的憑證。如果Web服務(wù)和應(yīng)用程序不是從編碼的角度設(shè)計(jì)的，那么就可以利用它們來(lái)獲得更高的特權(quán)。

例如，如果Web服務(wù)器未使用最新的安全修補(bǔ)程序進(jìn)行修補(bǔ)，這可能導(dǎo)致遠(yuǎn)程代碼執(zhí)行，攻擊者可能會(huì)編寫(xiě)一個(gè)腳本來(lái)利用該漏洞，并訪(fǎng)問(wèn)服務(wù)器并遠(yuǎn)程控制它。 在某些情況下，可能會(huì)發(fā)生這種情況，因?yàn)闆](méi)有遵循最佳的編碼和安全實(shí)踐，在安全配置中留下空白，并使Web解決方案容易受到攻擊。

 

表單輸入無(wú)效

 

許多網(wǎng)站使用由網(wǎng)站用戶(hù)填寫(xiě)的表單，并提交給服務(wù)器。 然后，服務(wù)器驗(yàn)證輸入并將其保存到數(shù)據(jù)庫(kù)。 驗(yàn)證過(guò)程有時(shí)委托給客戶(hù)端瀏覽器或數(shù)據(jù)庫(kù)服務(wù)器。 如果這些驗(yàn)證不夠強(qiáng)大或沒(méi)有正確編程，他們可能會(huì)留下可以被攻擊者利用的安全漏洞。

 

例如，如果一個(gè)字段如PAN號(hào)碼是強(qiáng)制性的，并且如果重復(fù)條目的驗(yàn)證不能正確完成，則攻擊者可以用偽PAN號(hào)碼以編程方式提交表單，從而以假條目填充數(shù)據(jù)庫(kù)。 這最終可以幫助攻擊者種植拒絕服務(wù)(DoS)攻擊，只需查詢(xún)頁(yè)面，詢(xún)問(wèn)不存在的條目。

 

代碼挖掘

 

雖然這與之前的漏洞有點(diǎn)類(lèi)似，但在破解它的方式上有一些不同。通常，程序員在為各種用戶(hù)輸入設(shè)置限制時(shí)，會(huì)做出假設(shè)。典型的例子是用戶(hù)名不應(yīng)該超過(guò)50個(gè)字符，或者數(shù)字值永遠(yuǎn)是正數(shù)，等等。

 

從安全的觀(guān)點(diǎn)來(lái)看，這些假設(shè)是危險(xiǎn)的，因?yàn)轳斂涂梢岳盟鼈?。例如，通過(guò)填充具有100個(gè)字符的名稱(chēng)字段，從而對(duì)數(shù)據(jù)集施加壓力，或者通過(guò)在數(shù)值字段中提供負(fù)整數(shù)來(lái)創(chuàng)建不正確的計(jì)算結(jié)果。