免费看又黄又无码的网站_久久久高清国产免费观看_亚洲一区二区三区在线免费观看_免费欧洲美女a视频一级毛片_日本最新免费二区三区

網(wǎng)站建設(shè)與前端開發(fā)（二）

• 作者：新網(wǎng)
• 來源：新網(wǎng)
• 瀏覽：100
• 2018-02-28 17:56:23

　　通常，在Web門戶的情況下，用戶會得到一個ID和一個密碼來登錄并執(zhí)行某些功能。門戶管理人員也為維護和數(shù)據(jù)管理提供了自己的憑證。如果Web服務(wù)和應(yīng)用程序不是從編碼的角度設(shè)計的，那么就可以利用它們來獲得更高的特權(quán)。

 通常，在Web門戶的情況下，用戶會得到一個ID和一個密碼來登錄并執(zhí)行某些功能。門戶管理人員也為維護和數(shù)據(jù)管理提供了自己的憑證。如果Web服務(wù)和應(yīng)用程序不是從編碼的角度設(shè)計的，那么就可以利用它們來獲得更高的特權(quán)。

例如，如果Web服務(wù)器未使用最新的安全修補程序進行修補，這可能導(dǎo)致遠程代碼執(zhí)行，攻擊者可能會編寫一個腳本來利用該漏洞，并訪問服務(wù)器并遠程控制它。 在某些情況下，可能會發(fā)生這種情況，因為沒有遵循最佳的編碼和安全實踐，在安全配置中留下空白，并使Web解決方案容易受到攻擊。

 

表單輸入無效

 

許多網(wǎng)站使用由網(wǎng)站用戶填寫的表單，并提交給服務(wù)器。 然后，服務(wù)器驗證輸入并將其保存到數(shù)據(jù)庫。 驗證過程有時委托給客戶端瀏覽器或數(shù)據(jù)庫服務(wù)器。 如果這些驗證不夠強大或沒有正確編程，他們可能會留下可以被攻擊者利用的安全漏洞。

 

例如，如果一個字段如PAN號碼是強制性的，并且如果重復(fù)條目的驗證不能正確完成，則攻擊者可以用偽PAN號碼以編程方式提交表單，從而以假條目填充數(shù)據(jù)庫。 這最終可以幫助攻擊者種植拒絕服務(wù)(DoS)攻擊，只需查詢頁面，詢問不存在的條目。

 

代碼挖掘

 

雖然這與之前的漏洞有點類似，但在破解它的方式上有一些不同。通常，程序員在為各種用戶輸入設(shè)置限制時，會做出假設(shè)。典型的例子是用戶名不應(yīng)該超過50個字符，或者數(shù)字值永遠是正數(shù)，等等。

 

從安全的觀點來看，這些假設(shè)是危險的，因為駭客可以利用它們。例如，通過填充具有100個字符的名稱字段，從而對數(shù)據(jù)集施加壓力，或者通過在數(shù)值字段中提供負整數(shù)來創(chuàng)建不正確的計算結(jié)果。