国产精品无码一区二区三区太,亚洲一线产区二线产区区别,欧美A区,人妻jealousvue人妻

網(wǎng)站建設與前端開發(fā)（二）

• 作者：新網(wǎng)
• 來源：新網(wǎng)
• 瀏覽：100
• 2018-02-28 17:56:23

　　通常，在Web門戶的情況下，用戶會得到一個ID和一個密碼來登錄并執(zhí)行某些功能。門戶管理人員也為維護和數(shù)據(jù)管理提供了自己的憑證。如果Web服務和應用程序不是從編碼的角度設計的，那么就可以利用它們來獲得更高的特權(quán)。

 通常，在Web門戶的情況下，用戶會得到一個ID和一個密碼來登錄并執(zhí)行某些功能。門戶管理人員也為維護和數(shù)據(jù)管理提供了自己的憑證。如果Web服務和應用程序不是從編碼的角度設計的，那么就可以利用它們來獲得更高的特權(quán)。

例如，如果Web服務器未使用最新的安全修補程序進行修補，這可能導致遠程代碼執(zhí)行，攻擊者可能會編寫一個腳本來利用該漏洞，并訪問服務器并遠程控制它。 在某些情況下，可能會發(fā)生這種情況，因為沒有遵循最佳的編碼和安全實踐，在安全配置中留下空白，并使Web解決方案容易受到攻擊。

 

表單輸入無效

 

許多網(wǎng)站使用由網(wǎng)站用戶填寫的表單，并提交給服務器。 然后，服務器驗證輸入并將其保存到數(shù)據(jù)庫。 驗證過程有時委托給客戶端瀏覽器或數(shù)據(jù)庫服務器。 如果這些驗證不夠強大或沒有正確編程，他們可能會留下可以被攻擊者利用的安全漏洞。

 

例如，如果一個字段如PAN號碼是強制性的，并且如果重復條目的驗證不能正確完成，則攻擊者可以用偽PAN號碼以編程方式提交表單，從而以假條目填充數(shù)據(jù)庫。 這最終可以幫助攻擊者種植拒絕服務(DoS)攻擊，只需查詢頁面，詢問不存在的條目。

 

代碼挖掘

 

雖然這與之前的漏洞有點類似，但在破解它的方式上有一些不同。通常，程序員在為各種用戶輸入設置限制時，會做出假設。典型的例子是用戶名不應該超過50個字符，或者數(shù)字值永遠是正數(shù)，等等。

 

從安全的觀點來看，這些假設是危險的，因為駭客可以利用它們。例如，通過填充具有100個字符的名稱字段，從而對數(shù)據(jù)集施加壓力，或者通過在數(shù)值字段中提供負整數(shù)來創(chuàng)建不正確的計算結(jié)果。