使這個查詢字符串格式容易暴露,用戶可以編輯和更改超出預期限制的字段值,或者用垃圾字符填充字段值。它可以進壹步導致用戶獲得他們不應該獲得的信息。在最壞的情況下,如果字段值是用戶名和密碼,則只能通過HTTP使用暴力字典攻擊來獲取系統級訪問權限。
跨站點腳本
這是Web技術中最常見的弱點,它可以吸引XSS(跨站點腳本)對所有主要站點和著名站點的攻擊。人們已經發現,即使在今天,大量的網站也很容易受到這種攻擊。這個漏洞是由於不適當的編程實踐和在Web基礎結構中無法獲得適當的安全措施造成的。
我們知道,客戶端瀏覽器維護自己的安全性,不允許任何人訪問網站內容和網站Cookie,用戶本身除外。在這種情況下,Web應用程序中的漏洞讓破解者將客戶端代碼註入用戶訪問的頁面。這段代碼通常使用JavaScript編寫。
要了解這壹點,請考慮將用戶名作為輸入的頁面,並在屏幕上顯示“歡迎用戶名”。讓我們假設輸入框用JavaScript替代,如下所示:
這裏,Web頁面可能會最終執行腳本標簽,顯示對話框消息“Youareintrouble”。這可以由攻擊者進壹步利用,只需中斷cookie,竊取會話並將該代碼註入受害者用戶的瀏覽器。壹旦這樣做,JavaScript代碼將在受害者的瀏覽器中運行,並盡可能造成損害。
SQL註入
如前所述,Web門戶在後端使用數據庫服務器,Web頁面連接到數據庫,查詢數據,並將所獲取的數據以Web格式呈現給瀏覽器。
如果客戶端上的輸入在以查詢形式發送到數據庫之前沒有經過適當的過濾,就可能發生SQL註入攻擊。這可能導致操作SQL語句的可能性,以便在數據庫上執行無效的操作。
網站建設網站